Citrix hat neue Versionen der Virtualisierungssoftware Hypervisor und Xenserver veröffentlicht. Darin schließt der Hersteller Sicherheitslücken, durch die Angreifer unbefugt auf den Speicher zugreifen könnten. Etwas präziser schreiben die Autoren in ihrer Meldung, dass Code innerhalb einer Gast-VM auf Inhalte im RAM anderswo auf dem Host-System schließen könne. Dies gehe auf Fehler in AMD-Prozessoren zurück. Betroffen sind Systeme mit AMD-CPUs mit der Zen-1- oder Zen-2-Prozessorarchitektur. Systeme mit AMD-CPUs mit Zen-3- oder neueren Kernen sowie mit Intel-Prozessoren, die alle vorgehenden Patches eingerichtet haben, seien nicht verwundbar, erläutern die Citrix-Entwickler in der Sicherheitsmeldung. Die Sicherheitslücken haben die CVE-Einträge CVE-2022-23816 sowie CVE-2022-23825 erhalten. Diese sind etwa in der NIST-Datenbank jedoch noch nicht hinterlegt. Cisco weist darauf hin, dass die Lücken nicht ursächlich in der eigenen Software klafften, das Unternehmen jedoch trotzdem Patches veröffentliche, die die CPU-Probleme abwenden. Die Fehler beheben die Versionen Citrix Hypervisor 8.2 CU1 LTSR und Citrix XenServer 7.1 CU2 LTSR. Die Entwickler erklären, dass die implementierten Umgehungsmaßnahmen auf betroffenen Prozessoren zu Performanceeinbußen führen können. Zwar stuft Citrix das Risiko als hoch ein, empfiehlt IT-Verantwortlichen jedoch lediglich, die Aktualisierungen einzuspielen, so wie die Wartungsplanung das erlaubt. Zwar haben AMD und Intel am Dienstag dieser Woche Informationen zu einer vergleichbaren Sicherheitslücke namens Retbleed veröffentlicht, die das unbefugte Auslesen von Speicher ermöglicht. Allerdings sind davon andere Prozessoren und -Architekturen betroffen.