virtual machine escape：虚拟机逃逸

虚拟机逃逸（virtual machine escape）是一种应用，其中攻击者在允许操作系统与管理程序直接互动的虚拟机（VM）上运行代码。这种应用可以使攻击者进入主机操作系统和在主机上运行的其他虚拟机。虽然还没有事故报告，虚拟机逃逸被认为是对虚拟机安全最严重的威胁。

　　虚拟机被设计在主机的独立环境中运行。实际上，每台虚拟机都应该是一个单独的系统，独立于主机操作系统和在同一台机器上运行的其他虚拟机。管理程序介于主机操作系统和虚拟机之间。它控制主处理器，并且给每个客机操作系统分配需要的资源。

　　以下是Ed Skoudis对这个风险的解释：

　　“如果攻击者可以损害虚拟机，他们很可能会控制所有的客机，因为客机仅次于程序本身。因为虚拟机需要全面地访问主机的硬件，所以许多虚拟机也以高特权在主机上运行，这样它才能把真正的硬件分配到客机的虚拟硬盘上。然后，对虚拟机的损害不仅仅意味着客机的丢失，主机也很有可能丢失。”

　　为了使虚拟机逃逸（virtual machine escape）的损害最小化，Skoudis建议您：

• 保持虚拟机软件补丁更新。
• 只安装你真的需要的资源共享功能。
• 尽可能少的安装软件，因为每个程序都有其自身的弱点。

最近更新时间：2009-07-13 翻译：曾芸芸EN