アカウント名:
パスワード:
しかもvmware-toolsとか入ってない完全仮想化されてる状態だろこれってつまりお隣さんのVMにコンニチハまで出来ちゃう訳だろこれってスーパーハカーすぎる…
> つまりお隣さんのVMにコンニチハまで出来ちゃう訳だろこれってVM escapeと呼ばれる類の攻撃ですね。この手の脆弱性は今回が初というわけではなく過去にも度々発見されていて、2015年にはQEMUでVM escapeが可能な脆弱性がVENOMという名前で公表され、当時はそこそこ大きな騒ぎになっていたと記憶しています。
今月のMS月例アップデートでパッチが配信されたKB4013082(CVE-2017-0075,CVE-2017-0075)もこれに分類されるのかと思います。
このストーリーの肝はここなのにそれに言及する人の少なさがね。
そのストーリーの肝の部分の説明が改ざんされているとあれば、さすがに突っ込みたくもなるでしょう。
それにホストOSが攻撃されるという脆弱性は初めてではないですからね。(例)http://forest.watch.impress.co.jp/docs/news/706472.html [impress.co.jp]
今回の方が難易度の高い条件で成功させている? とかいうのはあるかもしれませんが。
てゆーか、これEdge関係ないよね!
凄まじいなこれ。なんでもヤリ放題じゃないか。
VMware以外はどうなんだろ、これ。
これ ESXi が対象だったらちょっと死んでたな……
Workstationのバグなんだよね?!マジで影響ないよね?
まあこの手の内容でかつ露見していないバグはesxiにもあるでしょうでもニュースにもならないしアップデートもされないなら問題は起きてないってこと。アップデートの変更内容を確認してみると結構怖いことが書いてある。
VMware ESXi, Workstation and Fusion updates address critical and moderate security issuesIssue date:2017-03-28http://www.vmware.com/security/advisories/VMSA-2017-0006.html [vmware.com]
ホストのUpdate祭だな…
最近のメジャーなOSは仮想マシン上で動いているときはそれなりにそっちに合わせて動くんじゃ...半準仮想化?
ないよりはましになる。ついでに言うといわゆるコンテナ型仮想化やサンドボックスにもこの手の脆弱性は結構見つかる。
そう、脆弱性があるからこそ多層化に意味があるんだよね。
出たよ、「100点じゃないなら99点でも0点と同じ」のゴミ脆弱性は修正すればいいが、ゴミの思考回路は直せないんだよな自分が真人間だと信じ込んでるところがたちが悪い
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
Edgeよりも仮想マシンからハイパーバイザの世界に潜り込める方がすげえよ (スコア:0)
しかもvmware-toolsとか入ってない完全仮想化されてる状態だろこれって
つまりお隣さんのVMにコンニチハまで出来ちゃう訳だろこれって
スーパーハカーすぎる…
Re:Edgeよりも仮想マシンからハイパーバイザの世界に潜り込める方がすげえよ (スコア:3, 参考になる)
> つまりお隣さんのVMにコンニチハまで出来ちゃう訳だろこれって
VM escapeと呼ばれる類の攻撃ですね。
この手の脆弱性は今回が初というわけではなく過去にも度々発見されていて、2015年にはQEMUでVM escapeが可能な脆弱性がVENOMという名前で公表され、当時はそこそこ大きな騒ぎになっていたと記憶しています。
今月のMS月例アップデートでパッチが配信されたKB4013082(CVE-2017-0075,CVE-2017-0075)もこれに分類されるのかと思います。
Re: (スコア:0)
このストーリーの肝はここなのにそれに言及する人の少なさがね。
Re: (スコア:0)
そのストーリーの肝の部分の説明が改ざんされているとあれば、さすがに突っ込みたくもなるでしょう。
それにホストOSが攻撃されるという脆弱性は初めてではないですからね。
(例)
http://forest.watch.impress.co.jp/docs/news/706472.html [impress.co.jp]
今回の方が難易度の高い条件で成功させている? とかいうのはあるかもしれませんが。
Re: (スコア:0)
てゆーか、これEdge関係ないよね!
Re: (スコア:0)
凄まじいなこれ。
なんでもヤリ放題じゃないか。
VMware以外はどうなんだろ、これ。
Re: (スコア:0)
これ ESXi が対象だったらちょっと死んでたな……
Workstationのバグなんだよね?!
マジで影響ないよね?
Re: (スコア:0)
まあこの手の内容でかつ露見していないバグはesxiにもあるでしょう
でもニュースにもならないしアップデートもされないなら問題は起きてないってこと。
アップデートの変更内容を確認してみると結構怖いことが書いてある。
ESXiもAffected (スコア:0)
VMware ESXi, Workstation and Fusion updates address critical and moderate security issues
Issue date:2017-03-28
http://www.vmware.com/security/advisories/VMSA-2017-0006.html [vmware.com]
ホストのUpdate祭だな…
Re: (スコア:0)
最近のメジャーなOSは仮想マシン上で動いているときはそれなりにそっちに合わせて動くんじゃ...
半準仮想化?
Re:Edgeよりも仮想マシンからハイパーバイザの世界に潜り込める方がすげえよ (スコア:1)
ないよりはましになる。ついでに言うといわゆるコンテナ型仮想化やサンドボックスにもこの手の脆弱性は結構見つかる。
Re: (スコア:0)
そう、脆弱性があるからこそ多層化に意味があるんだよね。
Re: (スコア:0)
出たよ、「100点じゃないなら99点でも0点と同じ」のゴミ
脆弱性は修正すればいいが、ゴミの思考回路は直せないんだよな
自分が真人間だと信じ込んでるところがたちが悪い