Il team del progetto Xen ha recentemente corretto un bug di sicurezza potenzialmente molto pericoloso, una falla passata inosservata per ben sette anni e che avrebbe potuto portare alla compromissione di piattaforme di cloud computing estremamente popolari come per esempio Amazon Web Services (AWS).
Xen, ipervisore Open Source incaricato di coordinare il funzionamento delle istanze virtuali sulle piattaforme supportate, si potrebbe compromettere attraverso un tipo di virtualizzazione noto come paravirtualizzazione; nel caso specifico un malintenzionato potrebbe sfruttare la falla (CVE-2015-7835) per elevare i propri privilegi di accesso fino al cuore dell’ipervisore, ottenendo in sostanza gli stessi privilegi degli ingegneri di Amazon nel caso del succitato AWS.
I responsabili del progetto Xen avrebbero inizialmente annunciato la scoperta della vulnerabilità a un numero limitato di utenti, permettendo quindi l’installazione della patch prima di far diventare pubblica la loro disclosure.
Il bug CVE-2015-7835 coinvolgerebbe le versioni 3.4 e successive di Xen esclusivamente su piattaforme x86, mentre l’architettura dell’istanza virtuale da cui lanciare l’attacco può essere sia a 32 che a 64-bit; i ricercatori di sicurezza lanciano l’allarme su una falla nascosta nel codice per 7 anni, e ora spingono per una riforma profonda dello sviluppo dell’ipervisore.
Via | CVE-2015-7835