才发现：虚拟机漏洞“毒液”已存在11年

CrowdStrike的研究人员近日声称，他们发现当今大多数最流行的虚拟机平台软件中，都存在一个缓冲区溢出漏洞，该漏洞能够潜在的导致攻击者访问主机。

雪上加霜的是，即使管理员禁止访问虚拟软盘驱动代码（话说这年代谁还用软盘？），另一个完全无关的漏洞，仍然允许该代码被访问。

由于害怕媒体放大漏洞危害而引起恐慌，研究人员在建立了介绍及修补“毒液”漏洞的网站之后才通知了媒体。

研究人员将这个漏洞称为“毒液”（VENOM，虚拟环境忽略运行处理），因为它利用了被长时间忽略的代码，虚拟软盘控制器。发现这个漏洞的杰森盖夫纳表示，受影响的平台包括Xen、KVM、Oracle VM VirtualBox和QEMU客户端。这些虚拟机软件被提供云计算和基础设施的服务提供商和设备厂商广泛使用，占据全世界虚拟软件市场的绝大多数。估计可能有数百万台设备含有这个漏洞。

该漏洞允许攻击者发送恶意构造的命令给虚拟软盘驱动，造成缓冲区溢出，从而跳出虚拟机环境，并以管理员权限执行任意程序。但攻击者事前还是需要得到root或管理员权限的许可，因此有些媒体把毒液的破坏影响与心脏出血漏洞相比是夸大事实的。想利用这个漏洞的话，首先要入侵管理员账户，或者管理员本身就想干坏事。否则这只是一件需要关心的事，而无需恐慌。

上个月的时候，CrowdStrike通知了一家受“毒液”影响的软件厂商，并帮助厂商打上补丁。该补丁将于今天发布，但CrowdStrike不会发布漏洞的概念性验证代码。

“现在最大的问题是在内部使用虚拟机的用户，他们需要立刻打上补丁。”

盖夫纳表示，这个漏洞属于首次发现，还没有见到被利用的迹象。这段软盘驱动代码可以追溯到2004年，打那起就没人碰过。之所以还保留下来，是因为有些环境下还需要虚拟软盘的驱动。比如，有些老式的配有软盘驱动器的计算机。还有一些软件工具如硬盘数据恢复工具，就需要安装在软盘上。开发人员在虚拟机上测试这些工具的代码，就需要访问到虚拟软盘。

另一种虚拟软盘的应用环境是需要一个特殊格式化的软盘，以运行过去遗留下来的软件。一些软件厂商常常这样做，以确保该软件是被合法用户使用，而且不是非法的拷贝。