5月14日消息，據(jù)國(guó)外媒體報(bào)道，還記得“心臟出血”(Heartbleed)漏洞嗎?與現(xiàn)在最新發(fā)現(xiàn)的一個(gè)名為“Venom”的安全漏洞相比，“心臟出血”漏洞也是小兒科。一家安全研究公司近日發(fā)出警告稱，黑客可以利用這個(gè)最新發(fā)現(xiàn)的安全漏洞從內(nèi)部接管數(shù)據(jù)中心的大部分設(shè)備。

　　這個(gè)安全漏洞位于一款應(yīng)用極廣泛的虛擬化軟件的常規(guī)組件之中，黑客可以通過(guò)這個(gè)漏洞滲透到數(shù)據(jù)中心網(wǎng)絡(luò)中的每一臺(tái)設(shè)備中去。

　　當(dāng)今的大多數(shù)數(shù)據(jù)中心都將客戶壓縮到虛擬機(jī)或者一臺(tái)服務(wù)器上的多個(gè)操作系統(tǒng)中。這些虛擬化系統(tǒng)可以共享資源，但在主機(jī)管理程序中保持獨(dú)立。黑客可以利用Venom漏洞獲得進(jìn)入管理程序和該數(shù)據(jù)中心網(wǎng)絡(luò)中的每一臺(tái)連網(wǎng)設(shè)備的權(quán)利。

　　其中的關(guān)鍵在于一個(gè)被人們普遍忽視的、虛擬軟盤控制器，如果黑客向系統(tǒng)發(fā)送特殊代碼，就可以利用控制器摧毀整個(gè)管理程序。然后黑客就可以利用他們自己的虛擬機(jī)訪問(wèn)其他設(shè)備，包括同一數(shù)據(jù)中心網(wǎng)絡(luò)上的、其他人或其他公司的設(shè)備。

　　這個(gè)漏洞早在2004年的時(shí)候就在開源計(jì)算機(jī)模擬程序QEMU中被發(fā)現(xiàn)過(guò)。很多現(xiàn)代虛擬化平臺(tái)包括Xen、KVM和甲骨文的VirtualBox都存在這個(gè)漏洞。

　　VMware、微軟Hyper-V和Bochs管理程序沒有受到該漏洞的影響。

　　發(fā)現(xiàn)該漏洞的研究員、CrowdStrike的杰森·杰夫勒(Jason Geffner)在接受電話采訪時(shí)稱：“無(wú)數(shù)虛擬機(jī)使用的虛擬化平臺(tái)都是這些包含漏洞的平臺(tái)。”

　　這個(gè)安全漏洞有可能是今年被發(fā)現(xiàn)的最嚴(yán)重的安全漏洞，甚至比一年多以前被發(fā)現(xiàn)的心臟流血漏洞還要嚴(yán)重?！靶呐K出血”(Heartbleed)漏洞允許黑客從運(yùn)行存在漏洞的開源OpenSSL加密軟件的服務(wù)器的內(nèi)存中竊取數(shù)據(jù)。

　　杰夫勒說(shuō)：“心臟出血漏洞就好比是讓黑客通過(guò)一間房子的窗戶窺探房?jī)?nèi)的情況，然后根據(jù)他們所看到的東西來(lái)收集信息。但是Venom就好比是允許黑客破門而入，并且甚至允許他們破開鄰居家的房子?！?

　　杰夫勒說(shuō)，在本周三公開這個(gè)漏洞的信息之前，公司與軟件廠商進(jìn)行了合作，以協(xié)助它們修復(fù)漏洞。由于很多公司提供了自己的硬件和軟件，因此不需要多久受影響的客戶們就能得到這個(gè)補(bǔ)丁。

　　杰夫勒指出，現(xiàn)在還有一個(gè)較大的問(wèn)題是，某些公司使用的系統(tǒng)是無(wú)法自動(dòng)打補(bǔ)丁的。