📣 Envoyez-nous votre communiqué de presse
Site mis à jour toutes les 15 minutes
Technologie

Google paie 250 000 $ pour une faille Linux permettant l'évasion de VM

Google a versé 250 000 dollars pour une vulnérabilité critique de Linux permettant aux machines virtuelles invitées d'accéder aux systèmes hôtes avec des privilèges root.

8 juillet 2026
Google paie 250 000 $ pour une faille Linux permettant l'évasion de VM

Google a versé 250 000 dollars pour une faille de sécurité dans le noyau Linux qui permettait aux machines virtuelles (VM) invitées d'obtenir un accès root sur les machines hôtes. Cette vulnérabilité était l'une des deux failles de haute gravité signalées cette semaine pour le système d'exploitation open-source.

La vulnérabilité, suivie sous la référence CVE-2026-53359, réside dans KVM (Kernel-based Virtual Machine), un composant intégré dans de nombreuses distributions Linux pour la virtualisation. Elle permettait à des VM non fiables, telles que celles utilisées dans les plateformes cloud pour isoler les instances des utilisateurs, de s'échapper de leurs environnements désignés et de prendre le contrôle du système d'exploitation hôte.

Ce type de faille "d'évasion de VM" représente un risque important pour les infrastructures cloud et tout système s'appuyant sur KVM pour l'isolation des machines virtuelles. L'exploitation concernait KVM fonctionnant sur des processeurs AMD et Intel, en tirant parti de bogues dans les composants côté invité de la machine virtuelle.

Selon les rapports, la vulnérabilité était restée indétectée dans le noyau Linux pendant 16 ans. Le paiement de Google a été effectué dans le cadre de son programme de chasse aux bugs au chercheur qui a découvert et divulgué de manière responsable la faille.

Source originale: arstechnica.com