Google, 16 yıllık Linux KVM açığına 250 bin dolar ödül verdi
Januscape adı verilen KVM zafiyeti, konuk sanal makinelerin ana makineye sızmasına izin veriyor. Google, açığı bulan araştırmacıya 250 bin dolar ödül verdi.
Araştırmacı Hyunwoo Kim tarafından bulunan ve CVE-2026-53359 olarak izlenen zafiyet, Linux çekirdeğine gömülü sanallaştırma bileşeni KVM'de 16 yıldır fark edilmeden duruyordu. Januscape adı verilen açık, hem AMD hem Intel işlemcilerde çalışan sistemleri etkiliyor ve saldırganların yalnızca konuk sanal makine (guest VM) tarafındaki eylemlerle ana makineyi (host) ele geçirmesine olanak tanıyor. Bu durum, bulut sağlayıcılarında tek bir kiracı kimliğiyle kiralanan bir örneğin, aynı fiziksel sunucudaki tüm diğer kullanıcıları etkileyebileceği anlamına geliyor.
Açık, shadow MMU emülasyonunda bulunan bir use-after-free (serbest bırakılmış belleği kullanma) hatasından kaynaklanıyor; bu mekanizma host ve hipervizör bellek adresleri arasındaki çeviriyi yönetiyor. Saldırganlar bu zafiyeti kullanarak host çekirdeğinin çökmesine (DoS) veya ana makinede root yetkisiyle kod çalıştırılmasına (RCE) yol açabiliyor. Kim, host çekirdeğini çökertebilen bir kanıt niteliğinde istismar kodu (PoC) yayımladı, ancak tam kaçış sağlayan istismarı şimdilik gizli tutuyor.
Google, keşfin önemine binaen araştırmacıya 250 bin dolarlık bir ödül verdi. Bulut altyapılarının büyük bölümü KVM tabanlı sanallaştırmaya dayandığından, bu tür bir izolasyon açığı çok kiracılı ortamlar için ciddi bir risk oluşturuyor ve yama sürecinin hızlandırılması gerekiyor.