Kritische Sicherheitslücke in FreeBSD bhyve Hypervisor
Das FreeBSD-Projekt hat am 19. September 2024 eine Sicherheitslücke in bhyve, einem Hypervisor zur Ausführung virtueller Maschinen, bekannt gegeben. Die Schwachstelle CVE-2024-41721 betrifft alle unterstützten Versionen von FreeBSD und wurde durch unzureichende Grenzprüfungen im USB-Controller (XHCI) des Hypervisors verursacht. Angreifer können durch diese Schwachstelle aus einem Gastsystem heraus Out-of-Bounds-Lesezugriffe ausführen, die zu einem Heap-Überlauf, potenziell zu beliebigen Schreibzugriffen und Remote-Code-Ausführung führen können.
Ein Update der FreeBSD-Systeme auf die neuesten Sicherheitsversionen und ein Neustart der betroffenen virtuellen Maschinen wird dringend empfohlen. Ein Workaround ist nicht verfügbar.
Weitere Informationen und die zugehörigen Patches sind auf der FreeBSD Security-Website verfügbar.