Linux çekirdeğinin KVM hipervizöründe 16 yıldır fark edilmeyen kritik bir güvenlik açığı, Intel ve AMD işlemcilerde sanal makinelerin ana sisteme kaçmasına izin veriyor. 'Januscape' adı verilen ve CVE-2026-53359 olarak izlenen bu açık, KVM'nin gölge bellek yönetim biriminde (shadow MMU) bulunuyor. Güvenlik araştırmacısı Hyunwoo Kim tarafından keşfedilen açık, sanal makineden ana sisteme geçiş yaparak host çekirdeğinde kod çalıştırılmasına olanak tanıyor. Açığın, Google'ın kvmCTF programında 250.000 dolara kadar ödül alabilecek bir zero-day olarak sunulduğu belirtiliyor.
Açığın çalışma prensibi, KVM'nin sanal makinelerin bellek düzenini takip etmek için kullandığı gölge sayfa tablolarındaki bir kullanım-sonrası-serbest bırakma (use-after-free) hatasına dayanıyor. KVM, sayfaları yeniden kullanırken yalnızca bellek adresine bakıyor, sayfa türünü kontrol etmiyor. Bu da farklı türdeki sayfaların karışmasına yol açıyor. Çoğu durumda çekirdek bu karışıklığı fark edip kendini kapatırken, nadiren de olsa saldırgan, serbest bırakılan sayfayı kontrol ederek ana sistemde kod çalıştırabiliyor. Açık, Intel ve AMD işlemcilerde aynı şekilde tetikleniyor.
Bu açık, özellikle iç içe sanallaştırma (nested virtualization) kullanan ve güvenilmeyen konuk makineleri barındıran x86 ortamlarını etkiliyor. Saldırganın VM içinde root yetkisine sahip olması ve host tarafından iç içe sanallaştırmanın etkinleştirilmesi gerekiyor. QEMU gibi kullanıcı alanı bileşenlerine ihtiyaç duyulmadan, doğrudan KVM üzerinden gerçekleştirilen saldırı, host çekirdeğini çökerterek diğer tüm sanal makineleri etkileyebiliyor. Tam istismar durumunda saldırgan host üzerinde root yetkisi elde edebiliyor.
Düzeltme, kvm_mmu_get_child_sp() fonksiyonuna eklenen tek satırlık bir kodla yapıldı ve 4 Temmuz 2026'da yayınlanan kararlı sürümlerde yer alıyor. Kullanıcıların, çekirdeklerini güncellemeleri veya iç içe sanallaştırmayı devre dışı bırakmaları öneriliyor. Bu açık, araştırmacı Kim'in iki ay içinde üçüncü Linux çekirdeği açığı olurken, KVM/arm64 için de benzer bir açığın (ITScape) yayınlandığı belirtiliyor.