Bezpečnostní výzkumník Hyunwoo Kim objevil a nahlásil bezpečnostní chybu, kterou nazval Januscape. Jde o chybu typu „host-na-hostitele“, kterou lze podle dosavadních veřejně dostupných informací zneužít na procesorech Intel a AMD. Chyba nese označení CVE-2026–53359 a může být zneužita uvnitř virtuálního stroje k ovlivnění paměti hostitelského systému.
Bezpečnostní výzkumník Hyunwoo Kim objevil a nahlásil bezpečnostní chybu, kterou nazval Januscape. Jde o chybu typu „host-na-hostitele“, kterou lze podle dosavadních veřejně dostupných informací zneužít na procesorech Intel a AMD. Chyba nese označení CVE-2026–53359 a může být zneužita uvnitř virtuálního stroje k ovlivnění paměti hostitelského systému.
Chyba se nachází v kódu MMU a její objevitel tvrdí, že dosud nezveřejněný exploit umožňuje z virtuálního stroje spustit vlastní kód v hostitelském systému a tím ho ovládnout. Útok vyžaduje ze strany útočníka dvě věci: oprávnění roota uvnitř virtuálního stroje a možnost použít vnořenou (nested) virtualizaci, kterou hostitel zpřístupňuje. Nepomůže přitom hardwarová EPT nebo NPT, protože vnořená virtualizace nutí KVM vrátit se k původnímu kódu, kde se chyba nachází. Exploit prý nevyžaduje žádnou spolupráci ze strany QEMU ani žádného VMM v uživatelském prostoru, ke všemu stačí využití chyby v jaderném KVM.
Zranitelný kód se objevil v commitu 2032a93d66fa ze srpna 2010 (v době jádra 2.6.36) a byl opraven commitem 81ccda30b4e8, který byl začleněn do hlavní větve 19. června 2026. Problém se tedy v jádře vyskytoval plných 16 let. Chyba ohrožuje především sdílená prostředí, kde může útočník používající jeden stroj ovládnout celou instanci.
Vývojáři jádra vydali opravu v následujících podporovaných verzích jádra: 7.1.3, 6.18.38, 6.12.95, 6.6.144, 6.1.177, 5.15.211 a 5.10.260. Pokud provozujete veřejnou virtualizaci pro různé zákazníky, neváhejte s nasazením opravy.
(Zdroj: The Hacker News)
| # | Наименование новости | Тональность | Информативность | Дата публикации |
|---|---|---|---|---|
| 1 | Vestavěné heslo v routerech Tenda umožňuje přístup k administraci | -5 | 8 | 07-07-2026 |
| 2 | Návrat kódování H.264/H.265 přes Vulkan Video pro Intel Arc generace Alchemist | 0 | 5 | 07-07-2026 |
| 3 | Chyba „Bad Epoll“ v linuxovém jádře umožňuje získat roota a postihuje i Android | -5 | 7 | 04-07-2026 |
| 4 | Kódování do AV1 s DirectX 12 skrze Mesa 26.2 na Windows Subsystem for Linux | 0 | 5 | 07-07-2026 |
| 5 | Eliminace BUG() z ovladače AMDGPU zlepší stabilitu běhu | 2 | 7 | 08-07-2026 |
| 6 | Snadná výplata 240 tisíc korun od státu? ČSSZ varuje před nebezpečným podvodem | -5 | 7 | 02-07-2026 |
| 7 | Co vydrží Česko v krizi? Bezpečnostní rada řešila připravenost státu i kyberútoky | 0 | 5 | 02-07-2026 |
| 8 | Apple выпустила iOS 26.5.2 и macOS Tahoe 26.5.2 с исправлением более 20 уязвимостей | 0 | 5 | 30-06-2026 |
| 9 | CNN: Microsoft полагает, что хакеры из КНДР похитили важные данные у ее клиентов в США | 0 | 0 | 31-12-2019 |
| 10 | Rust-coreutils cp má problém s vytvářením live obrazu v Ubuntu | -2 | 6 | 03-07-2026 |