安全公司CrowdStrike的研究人員Jason Geffner表示，包括KVM、Virtual、以及Ken等在內(nèi)的虛擬機(jī)平臺，均面臨著一個名叫“毒液”(Venom)的高危漏洞，并且危險程度比去年曝出的“心臟出血”(Heartbleed)還要嚴(yán)重。萬幸的是，該漏洞屬于CrowdStrike內(nèi)部發(fā)現(xiàn)，目前暫時還沒有公開的攻擊利用報(bào)報(bào)告，所以大家還有時間來推出補(bǔ)丁并修復(fù)該bug。

數(shù)據(jù)中心大多采用主機(jī)系統(tǒng)管理程序(host hypervisior)來隔離單臺服務(wù)器上運(yùn)行的多個虛擬機(jī)實(shí)例，但就是這個底層結(jié)構(gòu)，被發(fā)現(xiàn)存在了10多年的“虛擬環(huán)境中被忽視的業(yè)務(wù)操作”(Virtualized Environment Neglected Operations Manipulation)的漏洞。

該漏洞始于2004年，可通過老舊的磁盤驅(qū)動器系統(tǒng)(legacy disk drive system)實(shí)現(xiàn)。遺憾的是，大家對于這種“上古遺物”一點(diǎn)也不上心，但攻擊者卻可以通過某個“壞掉”的虛擬機(jī)，一臺接一臺地攻陷網(wǎng)絡(luò)上的其它機(jī)器。

Geffner在接受電話采訪時表示：成百上千萬的虛擬機(jī)均運(yùn)行于受影響的平臺之上，包括KVM、VirtualBox、以及Ken。但對于運(yùn)行Bochs Hypervisors、Microsoft Hyper-V、以及VMware的數(shù)據(jù)中心來說，它們是安全的。