I server virtuali hanno un bug peggiore di Heartbleed

Venom permette di accedere a tutte le macchine virtuali.



[ZEUS News - www.zeusnews.it - 15-05-2015]

venom bug server virtuali

Ricordate Heartbleed, la falla in OpenSSL che permetteva di rubare i dati degli utenti dai server e definita «catastrofica»? Ebbene, ora c'è qualcosa di peggio in circolazione.

La nuova vulnerabilità è stata battezzata Venom, acronimo che sta per Virtualized Environment Neglected Operations Manipulation: dal nome si evince come a esserne interessati siano i server virtuali.

L'utilizzo di server virtuali è oggigiorno estremamente ampio poiché permette di risparmiare sulle infrastrutture: un unico server fisico ospita più server virtuali, condividendo alcuni strumenti importanti ma tenendo separati i dati dei singoli server.

Sullo stesso tema:
VMware Workstation Pro e Fusion Pro diventano gratuiti per uso personale
La fine del mondo, virtuale
Microsoft regala macchine virtuali con Windows 11
Come funziona Heartbleed

Venom consente di accedere all'intero hypervisor e di ottenere in tal modo l'accesso ai dati di ogni macchina virtuale, e tutto ciò avviene grazie a un piccolo e ignorato bug legato a un vecchio controller per floppy disk.

Se riceve un determinato codice, il controller può mandare in crash l'hypervisor e consentire a chi ha organizzato l'attacco di "uscire" dalla propria macchina virtuale e spiare in tutte le altre.

Il bug è così vecchio da risalire al 2004 ed era stato originariamente scoperto in Qemu; è tuttavia ancora presente in diversi software attuali come Xen, KVM e VirtualBox.

Sondaggio
Quale di questi consigli ritieni più importante per una vacanza all'insegna della sicurezza?
Aggiornare il sistema operativo, i programmi installati e le applicazioni, eliminando così eventuali falle di sicurezza già scoperte.
Evitare di usare WLAN pubbliche (in hotel, Internet Café, aeroporto...): solitamente sono protette in maniera inadeguata e i dati possono essere spiati. Meglio utilizzare una connessione mobile UMTS.
Evitare di fare online banking in vacanza e non scaricare o salvare dati personali e sensibili su Pc pubblici.
Creare un indirizzo ad hoc per inviare cartoline elettroniche via email, da disattivare al rientro qualora venisse compromesso.
Impostare una password all'accensione su smartphone e tablet e un PIN per lo sblocco della tastiera.
Fare il backup del notebook o del netbook che si porta in vacanza, crittografando i dati per limitare i danni in caso di furto.

Mostra i risultati (1930 voti)
Leggi i commenti (10)

Sono invece immuni VMWare, Microsoft Hyper-V e Bochs.

Ci sono quindi milioni di macchine sparse nel mondo che adoperano le piattaforme vulnerabili e, secondo il ricercatore di CrowdStrike Jason Geffner, si tratta della peggior falla scoperta quest'anno.

«Heartbleed» - spiega ancora Geffner - «consentiva a un nemico di spiare in casa da una finestra e ottenere informazioni grazie a ciò che vedeva. Venom gli consente di entrare in casa ma anche in tutte le altre case del vicinato».

Le aziende sono state avvisate in aprile dell'esistenza del problema e Oracle ha affermato di averlo già risolto; una nuova versione di VirtualBox contenente la correzione è stata rilasciata da poco.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA

Commenti all'articolo (4)

MaXXX eternal tiare
Infatti è molto grave ma è difficilmente sfruttabile per fortuna. quindi averlo paragonato ad heartbleed dicendo che è pure peggio mi sembra un azzardo dell'articolista con tutto il rispetto per lui e per zeusnews. Per fortuna è stato patchato subito non è successo il problema di heartbleed
19-5-2015 20:34
vac
Se ti piglia è catastrofico, Ma per pigliarti....
17-5-2015 22:11
MaXXX eternal tiare
Avevo letto che il pericolo era difficilmente sfruttabile. potenzialmente è catastrofico perchè ti permette di accedere all'host e alle altre macchine virtuali. certo il floppy non lo monta nessuno ormai per fortuna nelle vm (o la vulnerabilità rimane anche così? non ho letto le specifiche)
17-5-2015 22:02
vac
Catastrofico? Ma quanti mettono il controller del floppy nelle macchine (fisiche o virtuali)?
17-5-2015 15:42
Inserisci un commento - anche se NON sei registrato

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
In che modo installi nuove applicazioni sul computer?
Clicco su «Avanti-Avanti-Accetto-avanti...» quasi senza leggere
Leggo attentamente tutti le avvertenze e modifico le impostazioni se necessario
Di solito non installo applicazioni per conto mio

Mostra i risultati (1571 voti)
Ottobre 2025
n. 4005 del 13-10-2025
Windows 11 25H2: debutta il menu Start con layout dinamico e integrazione con lo smartphone
n. 4004 del 10-10-2025
DAZN chiede 500 euro di risarcimento a 2000 utenti già multati per pirateria. E minaccia cause
n. 4003 del 09-10-2025
Energia elettrica: il prezzo cambia ogni 15 minuti. Fasce orario stravolte, la sera costa di più
n. 4002 del 06-10-2025
Clothoff bloccata in Italia: il Garante Privacy ferma l'app che spoglia le persone con la IA
n. 4001 del 03-10-2025
Open Printer, stampante inkjet open source. Cartucce ricaricabili, design modulare e niente DRM
n. 4000 del 01-10-2025
Amazon Prime elimina la prova gratuita in Italia: i giorni di test passano da 30 a 7. E si pagano
Settembre 2025
n. 3999 del 29-09-2025
SPID a pagamento, l'era gratuita è finita: le Poste introducono un canone annuale
n. 3998 del 26-09-2025
YouTube ammette: "Obbligati dall'amministrazione Biden a sospendere certi canali"
n. 3997 del 25-09-2025
Commodore 64 Ultra convince: boom di vendite, acquisizione anticipata
n. 3996 del 24-09-2025
Cookie, si va verso il consenso unico. L'Europa valuta l'integrazione nei browser web
n. 3995 del 22-09-2025
Google lancia l'app "unificata" per la ricerca in Windows: documenti locali, web e Google Drive
n. 3994 del 18-09-2025
Poste Italiane, i dati di un milione di utenti nel dark web. L'azienda: "Non ci hanno attaccati"
n. 3993 del 17-09-2025
Windows 11, lo speed test si integra nella barra: misura velocità di up/download e latenze
n. 3992 del 15-09-2025
ISEE, titoli di studio e certificati arrivano su IT Wallet. Il portafoglio digitale si espande
n. 3991 del 12-09-2025
Microsoft contro ValueLicensing: fine delle licenze di Windows e Office a prezzi stracciati?
Tutti gli Arretrati
Vecchi articoli
Accadde oggi - 14 ottobre
2024
Meglio un software vecchio ma affidabile, o uno nuovo ma non testato?
2023
Canonical ritira Ubuntu 23.10 per “discorsi d'odio”
2022
Addio Office, benvenuta Microsoft 365
2021
Windows 11, la patch per AMD peggiora i problemi
2020
Le cipolle troppo sexy per Facebook
2019
La scena hacker italiana e il caso Richard Stallman
2018
Il termometro wireless intelligente per cuocere la carne a puntino
2017
Il ritorno del Game Boy
2016
Se il tuo iPhone ha la ''malattia del touch''
2015
Allegati in email
2014
L'importanza della prima impressione
2013
Mega sorpassa RapidShare
2012
Consumi e tabelle
2011
Addio a Dennis Ritchie, creatore di Unix e C
2010
Un cervello a maglia
2009
Microsoft rilascia una valanga di patch
2008
Pedopornografia, arrestata quindicenne
2007
Mediaset contro il Faucet di Vcast
2006
CAP liberi e gratis
2005
La flat del servizio informazioni
2004
Musica on-line a buon mercato dalla Russia
2003
Perché Linux
Olimpo Informatico


 
web metrics