O Google remunerou em 250 mil dólares a descoberta de uma falha de segurança crítica no sistema operacional Linux, que posibiliza a máquinas virtuais não confiáveis obterem acesso root às máquinas hospedeiras. A vulnerabilidade é uma das duas falhas de alta gravidade reveladas nesta semana no sistema de código aberto.
A falha está presente no KVM, uma aplicação de virtualização integrada ao núcleo de diversas distribuições Linux. O problema, identificado pelo código CVE-2026-53359, permite que máquinas virtuais convidadas, como aquelas utilizadas em plataformas de nuvem para isolar instâncias de usuários do sistema operacional hospedeiro e de outras instâncias, consigam escapar desse isolamento.
A vulnerabilidade afeta o KVM em execução tanto em processadores AMD quanto Intel. A falha explora erros presentes no lado do guest do KVM, a porção da máquina virtual que consiste apenas em recursos como o sistema operacional ou drivers presentes na máquina virtual convidada, em vez de recursos presentes na máquina hospedeira.
A ameaça passou despercebida no kernel Linux por 16 anos, representando um risco significativo para plataformas de computação em nuvem que dependem dessa tecnologia de virtualização para isolar diferentes clientes e workloads.
Fonte: Ars Technica
