Pour gérer vos consentements :

VENOM : un poison pour des millions de machines virtuelles

La menace VENOM plane sur des millions de machines virtuelles.

Derrière cet acronyme qui signifie « Virtualized Environment Neglected Operations Manipulation » – et que l’on peut traduire en français par « venin » – se cache une faille de sécurité découverte par Jason Geffner, de la société CrowdStrike.

Cette vulnérabilité touche l’une des composantes de l’hyperviseur open source QEMU (Quick Emulator) : le contrôleur de disquette virtuel.

Existant depuis 2004, cette fonction est présente par défaut sur les hyperviseurs KVM, Xen et Oracle VirtualBox. Plusieurs millions de machines virtuelles sont donc concernées, qu’elles tournent sur des serveurs, des appliances ou dans le cloud. Si bien que la brèche est classée critique.

Pour Jason Geffner, VENOM est unique : affectant plusieurs types de plates-formes de virtualisation (à l’exception de VMware et Hyper-V), elle est agnostique sur les OS (Windows, Mac, Linux, etc.) et permet d’exécuter directement du code arbitraire dans la VM.

Dans une machine virtuelle, l’OS invité (guest) communique avec le contrôleur de disquette virtuel en envoyant des commandes de type « lire », « écrire », « rechercher » ou « formater ».

Pour stocker ces commandes et les paramètres associés, QEMU s’appuie sur une mémoire tampon de capacité fixe. Cette dernière est effacée après chaque opération… sauf pour deux commandes prédéfinies, qu’un tiers peut donc exploiter pour déborder la mémoire tampon et exécuter son propre code.

Une telle faille peut entraîner la fuite de données sensibles. Bien qu’encore non exploitée à l’heure actuelle selon Jason Geffner, elle nécessite de déployer au plus vite les correctifs disponibles (pour QEMU Project et pour Xen Project ; rien pour le moment du côté des solutions KVM).

Difficile de ne pas effectuer de rapprochement avec Heartbleed, cette vulnérabilité découverte l’année dernière dans la bibliothèque de chiffrement OpenSSL.

Mais pour Jason Geffner, il n’y a pas de comparaison : « Heartbleed permettait à un attaquant de regarder à travers la fenêtre d’une maison et de recueillir des informations sur la base de ce qu’ils voient. VENOM permet de tout casser dans la maison, mais aussi de détruire les maisons du voisinage ».

Comme le note Silicon.fr, le véritable point commun entre les deux failles est la question qu’elles soulèvent à propos de la sécurité des solutions open source.

Crédit photo : Joe McDonald – Shutterstock.com

Recent Posts

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

2 jours ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

6 jours ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

2 semaines ago

GenAI : comment choisir une solution « prête à l’emploi »

Les offres d'intelligence artificielle générative (GenAI) "prêtes à l'emploi" sont nombreuses et proposent une variété…

3 semaines ago

Sora : comment fonctionne le nouveau modèle text-to-vidéo

OpenAI, l'inventeur de ChatGPT, lance un nouveau modèle text-to-vidéo qui impressionne par sa qualité. Appelé…

1 mois ago

GenAI : qui peut accéder à Gemini (ex Bard) ?

Google a officialisé le lancement de Gemini, le nouveau nom de son outil de GenAI.…

1 mois ago