Linux çekirdeğinin Çekirdek Tabanlı Sanal Makine (KVM) modülündeki kritik bir güvenlik açığı, konuk VM'de kök erişimi olan saldırganların ana sistem üzerinde rasgele kod yürütmesine olanak tanır. Bu, bulut sağlayıcılarının ve işletmelerin sunuculardaki hassas süreçleri izole etmek için güvendiği en önemli güvenlik sınırını ihlal ediyor.
CVE-2026-53359 olarak takip edilen güvenlik açığı, x86 CPU mimarisindeki KVM'nin gölge MMU emülasyonunda yer alan boş hafızadan sonra kullanım hatasından kaynaklanıyor. Bunu keşfeden araştırmacı Hyunwoo Kim'e göre kusur, Linux çekirdek kodunda son 16 yıldır mevcut ve hem Intel hem de AMD CPU'larda çalışan ilk KVM konuktan ana bilgisayara kaçış güvenlik açığıdır.
Hyunwoo, kusuru Januscape olarak adlandırdı ve bunu, Google'ın hem Google Cloud'da hem de Android altyapısında kullandığı KVM'de gösterilen tam VM kaçışı için 250.000 ABD Dolarına kadar ödeme yapan bir güvenlik açığı ödül programı olan Google'ın kvmCTF'si aracılığıyla bildirdi.