還記得“心臟出血”(Heartbleed)漏洞嗎?與現(xiàn)在最新發(fā)現(xiàn)的一個名為“Venom”的安全漏洞相比，“心臟出血”漏洞也是小兒科。一家安全研究公司近日發(fā)出警告稱，黑客可以利用這個最新發(fā)現(xiàn)的安全漏洞從內(nèi)部接管數(shù)據(jù)中心的大部分設(shè)備。

這個安全漏洞位于一款應(yīng)用極廣泛的虛擬化軟件的常規(guī)組件之中，黑客可以通過這個漏洞滲透到數(shù)據(jù)中心網(wǎng)絡(luò)中的每一臺設(shè)備中去。

當今的大多數(shù)數(shù)據(jù)中心都將客戶壓縮到虛擬機或者一臺服務(wù)器上的多個操作系統(tǒng)中。這些虛擬化系統(tǒng)可以共享資源，但在主機管理程序中保持獨立。黑客可以利用Venom漏洞獲得進入管理程序和該數(shù)據(jù)中心網(wǎng)絡(luò)中的每一臺連網(wǎng)設(shè)備的權(quán)利。

其中的關(guān)鍵在于一個被人們普遍忽視的、虛擬軟盤控制器，如果黑客向系統(tǒng)發(fā)送特殊代碼，就可以利用控制器摧毀整個管理程序。然后黑客就可以利用他們自己的虛擬機訪問其他設(shè)備，包括同一數(shù)據(jù)中心網(wǎng)絡(luò)上的、其他人或其他公司的設(shè)備。

這個漏洞早在2004年的時候就在開源計算機模擬程序QEMU中被發(fā)現(xiàn)過。很多現(xiàn)代虛擬化平臺包括Xen、KVM和甲骨文的VirtualBox都存在這個漏洞。

VMware、微軟Hyper-V和Bochs管理程序沒有受到該漏洞的影響。

發(fā)現(xiàn)該漏洞的研究員、CrowdStrike的杰森·杰夫勒(Jason Geffner)在接受電話采訪時稱：“無數(shù)虛擬機使用的虛擬化平臺都是這些包含漏洞的平臺。”

這個安全漏洞有可能是今年被發(fā)現(xiàn)的最嚴重的安全漏洞，甚至比一年多以前被發(fā)現(xiàn)的心臟流血漏洞還要嚴重?！靶呐K出血”(Heartbleed)漏洞允許黑客從運行存在漏洞的開源OpenSSL加密軟件的服務(wù)器的內(nèi)存中竊取數(shù)據(jù)。

杰夫勒說：“心臟出血漏洞就好比是讓黑客通過一間房子的窗戶窺探房內(nèi)的情況，然后根據(jù)他們所看到的東西來收集信息。但是Venom就好比是允許黑客破門而入，并且甚至允許他們破開鄰居家的房子?！?br />
杰夫勒說，在本周三公開這個漏洞的信息之前，公司與軟件廠商進行了合作，以協(xié)助它們修復(fù)漏洞。由于很多公司提供了自己的硬件和軟件，因此不需要多久受影響的客戶們就能得到這個補丁。杰夫勒指出，現(xiàn)在還有一個較大的問題是，某些公司使用的系統(tǒng)是無法自動打補丁的。