Le projet Xen, un des principaux acteurs de la virtualisation open source, vient de corriger plusieurs failles de sécurité, dont certaines permettant de casser la couche d’isolation entre les machines virtuelles.
Pas moins de 9 failles ont été corrigées, et la plus sérieuse relève d’un souci logique sur l’implémentation de la virtualisation de la mémoire.
Utilisable uniquement par des administrateurs, sur architectures x86, depuis la version 3.4, cette vulnérabilité existe depuis 7 ans, et c’est la pire jamais découverte.
On doit cette trouvaille – dont on se serait passé ! – à l’équipe de Qubes OS, son système étant basé sur Xen. Ces derniers ont été plutôt critiques envers le projet et son développement.
