Kutatók virtuális gépeket célzó támadást fejlesztettek ki

Kutatók egy csoportja kifejlesztett egy támadási módszert, amely egy virtuális gép segítségével lehetővé teszi egy azonos kiszolgálón futó másik virtuális gépen használt titkosító kulcs kinyerését. A kulcs kinyerése másodlagos információk elemzésével történik (side channel támadás), ezért nem igényli a célzott virtuális gép feltörését.

A támadás folyamata nem egyszerű, de a kutatók szerint automatizálható lehet, így egy támadó pl. hozzájuthat egy felhőszolgáltató más ügyfeleinek titkos kulcsaihoz. Bár a felhőszolgáltatón múlik honnan szolgálja ki a támadó virtuális gépét, ezért célzott támadásra a módszer nem alkalmas, mégis egy olyan biztonsági kockázatot jelent, ami miatt érdemes kétszer meggondolni a bizalmas adatokat kezelő gépek felhő alapú kiszolgálását.

http://darkreading.com/cloud-security/167901092/security/attacks-breaches/240012743/researchers-develop-cross-vm-side-channel-attack.html


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2014-3931 – Multi-Router Looking Glass (MRLG) Buffer Overflow sérülékenysége
CVE-2016-10033 – PHPMailer Command Injection sérülékenysége
CVE-2019-5418 – Rails Ruby on Rails Path Traversal sérülékenysége
CVE-2019-9621 – Synacor Zimbra Collaboration Suite (ZCS) Server-Side Request Forgery (SSRF) sérülékenysége
CVE-2016-4484 – Linux sérülékenység
CVE-2025-32463 – Linux sérülékenység
CVE-2025-32462 – Linux sérülékenység
CVE-2025-6463 – Wordpress sérülékenység
CVE-2024-51978 – Brother sérülékenység
Tovább a sérülékenységekhez »