Boris Ostrovsky

**Nome do software vulnerável e versões afetadas** KVM (versões afetadas não especificadas) **Descrição** Foi descoberta uma falha na forma como o hipervisor KVM lida com a emulação de instruções para um convidado L2 quando a virtualização aninhada está ativada. Em determinadas circunstâncias, um convidado L2 pode induzir o convidado L0 a acessar recursos confidenciais do L1 que deveriam estar inacessíveis ao convidado L2. A vulnerabilidade está relacionada à divulgação de informações e pode ser explorada por um invasor remoto para obter acesso a informações protegidas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do kernel Linux 4.10 (host) com 4.16 ou posterior (guest) **Descrição** O problema está relacionado ao subsistema Kernel-based Virtual Machine (KVM) no Linux, especificamente à execução simultânea usando um recurso compartilhado com sincronização incorreta. Isso permite que um invasor acesse dados confidenciais. O problema afeta principalmente processadores AMD, mas não se pode descartar a possibilidade de afetar CPUs Intel. **Recomendações** Para a versão 4.10 do kernel Linux (host) com 4.16 ou posterior (convidado), considere desativar o PV TLB no kernel convidado como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a dados confidenciais no kernel convidado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.