Eine seit 2010 im Linux-Kernel schlummernde Schwachstelle in der Kernel-based Virtual Machine (KVM) gefährdet Cloudsysteme weltweit. Über die Lücke lässt sich aus einer virtuellen Maschine ausbrechen und die Kontrolle über das zugrunde liegende Hostsystem übernehmen. Betroffen sind Intel- und AMD-basierte Systeme, Arm64-Plattformen bleiben verschont.
Was die Lücke so gefährlich macht
Entdeckt hat sie der Sicherheitsforscher Hyunwoo Kim, der online unter dem Namen V4bel auftritt. Er hat die Lücke, registriert als CVE-2026-53359 und auch „Januscape" genannt, auf Github dokumentiert. Ursache ist ein Use-after-free-Bug in der Shadow-MMU von KVM/x86, jenem Bestandteil, der für die Übersetzung von Speicheradressen zuständig ist. Zur Ausnutzung reicht laut Kim bereits Root-Zugriff auf ein beliebiges Gastsystem, weitere Voraussetzungen braucht es nicht.
Der Fehler lässt sich allein durch Aktionen im Gastsystem auslösen und beschädigt dabei die Shadow-Page des Host-Kernels. Damit wird die eigentlich strikte Trennung zwischen Gast und Host ausgehebelt. Besonders kritisch ist das für Cloudanbieter wie Google oder AWS, bei denen VMs unterschiedlicher Kunden auf derselben Hardware laufen. Ein Angreifer, der nur eine einzige gemietete Instanz kontrolliert, könnte den Host-Kernel zum Absturz bringen und damit alle anderen Gast-VMs auf derselben Maschine lahmlegen, im schlimmsten Fall sogar Code mit Root-Rechten auf dem Host ausführen und die komplette Umgebung übernehmen.
Exploit vorerst nur teilweise veröffentlicht
Kim hat bereits einen Exploit veröffentlicht, der jedoch nur zu einem Absturz des Hostsystems führt und nicht das volle Potenzial der Lücke ausschöpft. Einen Exploit für den vollständigen VM-Ausbruch hält er nach eigenen Angaben aus Sicherheitsgründen zurück, er soll frühestens „in sehr ferner Zukunft" erscheinen. Angesichts der wachsenden Rolle von KI-gestützter Schwachstellenforschung ist allerdings nicht ausgeschlossen, dass andere Akteure unabhängig davon einen vollständigen Exploit entwickeln, zumal Kim bereits umfangreiche technische Details veröffentlicht hat.
Ein Patch für den Kernel existiert seit dem 16. Juni 2026, die Lücke war damit rund 16 Jahre im Code vorhanden. Für zahlreiche Versionen gängiger Distributionen wie Debian, Ubuntu, Suse und Red Hat steht die Korrektur laut den jeweiligen Sicherheitsmeldungen bislang noch aus, teils ist sogar unklar, welche Versionen überhaupt betroffen sind. Wenn du Cloud- oder Virtualisierungsinfrastruktur betreibst, lohnt sich ein Blick in die Sicherheitshinweise deines Distributors, um den Patch einzuspielen, sobald er verfügbar ist.