Specjaliści z CrowdStrike, firmy działającej w obszarze bezpieczeństwa IT, wykryli krytyczną lukę w QEMU, pozwalającą potencjalnemu atakującemu na przejście z systemu maszyny wirtualnej i wykonanie kodu na maszynie hosta oraz innych maszynach wirtualnych. Zagrożone są nie tylko środowiska korzystające natywnie z QEMU lecz również KVM i Xen.
Luka pod nazwą VENOM (Virtualized Environment Neglected Operations Manipulation), opisana w biuletynie CVE-2015-3456, stwarza duże niebezpieczeństwo wycieku wrażliwych danych. Błąd został wykryty w kodzie wirtualnego kontrolera stacji dyskietek (Virtual Floppy Disk Controller), który jest używany na wielu różnorodnych urządzeniach i platformach do wirtualizacji.
Luka jest w pełni niezależna od systemu i może zostać wykorzystana do ataku na systemy Windows, Linux, OS X i wielu innych. Jednak ataku może dokonać tylko z poziomu konta administratora. Na atak nie są podatne hypervisory VMware, Microsoft Hyper-V i Bochs.
Więcej informacji na temat luki można znaleźć na tej stronie.