Siber güvenlik araştırmacısı Hyunwoo Kim, Linux çekirdeğindeki KVM hipervizöründe bulunan ve 16 yıldır gizli kalmış bir kullanım-sonra-serbest bırak (use-after-free) güvenlik açığını ifşa etti. CVE-2026-53359 koduyla izlenen ve Januscape adı verilen bu açık, bir sanal makine (VM) içinde çalışan kodun ana bilgisayar çekirdek belleğini bozmasına olanak tanıyor. Ağustos 2010'dan beri çekirdekte bulunan bu hata, hem Intel hem de AMD işlemcileri etkiliyor ve bu özelliğiyle her iki mimaride de çalışan belgelenmiş ilk konuktan ana bilgisayara KVM istismarı olarak kayıtlara geçiyor.
Kim, bu açığı Google'ın kvmCTF programında sıfırıncı gün (zero-day) olarak kullandı. Program, tam konuktan ana bilgisayara kaçışlar için 250.000 dolara kadar ödül sunuyor. Kamuya açık kanıtlama kodu (PoC), ana bilgisayar çekirdeğini güvenilir bir şekilde çökertiyor. Ana bilgisayarda kod çalıştırmayı başaran ayrı ve tam bir istismar kodu mevcut ancak henüz yayınlanmadı. Açığın temelinde, KVM'in bellek yönetimindeki bir hata yatıyor: KVM, kendi sayfa tablolarını yönetirken yeniden kullanılacak sayfaları yalnızca bellek adresine göre eşleştiriyor, sayfanın türünü göz ardı ediyordu. Bu karışıklık, KVM'in hangi bellek sayfasını yönettiğini yanlış anlamasına yol açıyor ve çekirdeğin geçersiz verileri işlemesine neden olarak çökmelere veya potansiyel saldırgan kontrolüne olanak tanıyor.
Saldırının gerçekleşmesi için konuk VM içinde root yetkileri ve ana bilgisayar tarafından iç içe sanallaştırma (nested virtualization) özelliğinin açık olması gerekiyor. Konuk root yetkisi, bulut örneklerinde standart bir durum; ancak iç içe sanallaştırma gereksinimi mimari açıdan kritik. Çünkü varsayılan olarak donanım bellek yönetimi kullanan ana bilgisayarlar bile, iç içe sanallaştırma etkin olduğunda eski gölge MMU kod yoluna düşüyor ve hata tam da burada devreye giriyor. Kim, bu açığın QEMU'dan bağımsız olarak doğrudan çekirdek içi KVM'de oluştuğunu ve bu nedenle QEMU'yu tamamen kaldıran özel bulut sanallaştırma yığınlarını da tehdit ettiğini vurguluyor.
Düzeltme, kvm_mmu_get_child_sp() fonksiyonuna tek satırlık bir ekleme ile yapıldı. Artık yeniden kullanım koşulu, hem konuk çerçeve numarasını hem de rol türünü birlikte kontrol ediyor, böylece KVM yalnızca her iki değer eşleştiğinde bir gölge sayfayı yeniden kullanıyor. Düzeltilmiş kararlı çekirdek sürümleri 4 Temmuz 2026'da yayınlandı. NVD henüz bir CVSS puanı atamadı. Çok kiracılı konukları iç içe sanallaştırma ile kabul eden x86 KVM ana bilgisayarları, 81ccda30b4e8 commit'inin çalışan çekirdeklerinde bulunduğundan emin olmalı. Hemen yama yapılamıyorsa, kvm_intel.nested=0 veya kvm_amd.nested=0 ile iç içe sanallaştırmayı devre dışı bırakmak, güvenilmeyen konuklar için saldırı yolunu kapatıyor.