かの「Heartbleed」以来、久しぶりに名前が付けられた脆弱性「VENOM⁠」⁠。5月13日（米国時間⁠）⁠、米国のセキュリティ企業CrowdStrikeによって明らかにされたこの脆弱性（CVE-2015-3456）はQEMUの仮想フロッピードライブコントローラ（FDC）のバグに由来するため、Xen、KVM、VirtualBoxといった主だったオープンソースのハイパーバイザに影響が及ぶ。もっとも発表と同時にRed HatやUbuntu/Canonicalといった大手のディストリビュータはこの脆弱性に対応したパッチをリリースしており、XenやKVMを利用するクラウドベンダもほとんどが対応済みだという。

VENOMは攻撃者が仮想マシン上のゲストOS空間をエスケープする手段を与え、悪意のあるコードをホストに対して実行できる可能性をもつ。最悪の場合はホストの先につながっている社内システム（物理環境含む）にまで侵入できる可能性もあるという。なお、VMwareおよびBochsはVENOMの対象外、Microsoft Hyper-VはXenをコアにしているもののエミュレータとしてQEMUを使用していないため対象外となっている。

フロッピーディスクはずいぶん前に使われなくなったのに、なぜ「FDC（フロッピードライブコントローラ⁠）⁠」なるものが存在するのか ─ VENOMを最初に発見したCrowdStrikeのFAQサイトにこんな質問が寄せられていた。オープンソースのエミュレータとして普及しているQEMUは、非常に広範囲のハードウェアを扱えるが、当然ながらフロッピードライブもサポートする。物理的なフロッピードライブは使われなくなったが、仮想フロッピードライブは仮想マシンにとっていまもデフォルトなのだ。

だがこのFDCの脆弱性は、2004年にQEMUにコードベースでマージされたときから存在していたといわれる。VENOMには「ヘビやクモが吐き出す毒物、悪意」といった意味があるが、10年経って、眠っていた毒物がクラウドの世界で覚醒した格好となった。厄介なのは管理者がフロッピードライブを設定から外していても、QEMU自体がFDCを搭載しているため、ユーザ側の設定にかかわりなく脆弱性の影響を受けてしまう点だ。

ただし、CrowdStrikeのリサーチャーがこのバグを発見したのは4月30日。その後、Red HatやOracle、その他のセキュリティコミュニティと密に連絡を取り、脆弱性の発表と同時にパッチが提供されるなど、一般ユーザへの影響が最小限で済むように手が打たれている。逆にVENOMで影響を受けるのは多数のユーザに仮想マシンを提供するクラウドベンダだ。クラウドユーザは自分が契約するクラウドベンダのVENOMに関するアナウンスをチェックしてほしい。なおAWSはこの脆弱性に影響を受けないと発表している。

XSA Security Advisory CVE-2015-3456