5月14日消息，據國外媒體報道，還記得“心臟出血”（Heartbleed）漏洞嗎？與現在最新發(fā)現的一個(gè)名為“Venom”的安全漏洞相比，“心臟出血”漏洞也是小兒科。一家安全研究公司近日發(fā)出警告稱(chēng)，黑客可以利用這個(gè)最新發(fā)現的安全漏洞從內部接管數據中心的大部分設備。 

 

這個(gè)安全漏洞位于一款應用極廣泛的虛擬化軟件的常規組件之中，黑客可以通過(guò)這個(gè)漏洞滲透到數據中心網(wǎng)絡(luò )中的每一臺設備中去。 

 

當今的大多數數據中心都將客戶(hù)壓縮到虛擬機或者一臺服務(wù)器上的多個(gè)操作系統中。這些虛擬化系統可以共享資源，但在主機管理程序中保持獨立。黑客可以利用Venom漏洞獲得進(jìn)入管理程序和該數據中心網(wǎng)絡(luò )中的每一臺連網(wǎng)設備的權利。 

 

其中的關(guān)鍵在于一個(gè)被人們普遍忽視的、虛擬軟盤(pán)控制器，如果黑客向系統發(fā)送特殊代碼，就可以利用控制器摧毀整個(gè)管理程序。然后黑客就可以利用他們自己的虛擬機訪(fǎng)問(wèn)其他設備，包括同一數據中心網(wǎng)絡(luò )上的、其他人或其他公司的設備。 

 

這個(gè)漏洞早在2004年的時(shí)候就在開(kāi)源計算機模擬程序QEMU中被發(fā)現過(guò)。很多現代虛擬化平臺包括Xen、KVM和甲骨文的VirtualBox都存在這個(gè)漏洞。 

 

VMware、微軟Hyper-V和Bochs管理程序沒(méi)有受到該漏洞的影響。 

 

發(fā)現該漏洞的研究員、CrowdStrike的杰森·杰夫勒（Jason Geffner）在接受電話(huà)采訪(fǎng)時(shí)稱(chēng)：“無(wú)數虛擬機使用的虛擬化平臺都是這些包含漏洞的平臺。” 

 

這個(gè)安全漏洞有可能是今年被發(fā)現的最嚴重的安全漏洞，甚至比一年多以前被發(fā)現的心臟流血漏洞還要嚴重。“心臟出血”（Heartbleed）漏洞允許黑客從運行存在漏洞的開(kāi)源OpenSSL加密軟件的服務(wù)器的內存中竊取數據。 

 

杰夫勒說(shuō)：“心臟出血漏洞就好比是讓黑客通過(guò)一間房子的窗戶(hù)窺探房?jì)鹊那闆r，然后根據他們所看到的東西來(lái)收集信息。但是Venom就好比是允許黑客破門(mén)而入，并且甚至允許他們破開(kāi)鄰居家的房子。” 

 

杰夫勒說(shuō)，在本周三公開(kāi)這個(gè)漏洞的信息之前，公司與軟件廠(chǎng)商進(jìn)行了合作，以協(xié)助它們修復漏洞。由于很多公司提供了自己的硬件和軟件，因此不需要多久受影響的客戶(hù)們就能得到這個(gè)補丁。 

 

杰夫勒指出，現在還有一個(gè)較大的問(wèn)題是，某些公司使用的系統是無(wú)法自動(dòng)打補丁的。