从virtio-snd 0-day到虚拟机逃逸:利用不受控堆溢出攻击QEMU 本文详细介绍了如何利用QEMU virtio-snd设备中的三个堆溢出漏洞实现虚拟机逃逸。漏洞存在于音频输入路径,导致不受控的堆溢出写入(字节值随机)。通过精心堆布局和利用glibc 2.43的tcache特性(几乎没有大小检查),作者将单字节不受控溢出转化为可控的堆块重叠、地址泄露和任意读写原语,最终覆盖VirtQueue的函数指针调用system(),在宿主机上执行任意命令。文章展示了在不利条件下(溢出数据不可控)仍能可靠利用的技术,并强调了新glibc版本对利用可靠性的提升。 堆溢出 QEMU 虚拟机逃逸 glibc tcache 堆喷射 osecio 发布于 2026-03-18 8 0 0