VENOM (ย่อมาจาก Virtualized Environment Neglected Operations Manipulation ^{[ 1 ]} ) เป็นช่องโหว่ด้านความปลอดภัยของคอมพิวเตอร์ที่ถูกค้นพบในปี 2015 โดย Jason Geffner ซึ่งในขณะนั้นเป็นนักวิจัยด้านความปลอดภัยที่CrowdStrike [ ^{2 ] ช่อง}โหว่นี้ถูกนำเสนอในปี 2004 และส่งผลกระทบต่อQEMU , Xen , KVMและVirtualBox เวอร์ชันต่างๆ ตั้งแต่วันนั้นจนกระทั่งได้รับการแก้ไขหลังจากการเปิดเผย^{[ 3 ] [ 4 ]}

การมีอยู่ของช่องโหว่เกิดจากข้อบกพร่องในตัวควบคุมฟลอปปี้ดิสก์ เสมือนของ QEMU ^{[ 5 ]}

VENOM ได้รับการลงทะเบียนในฐาน ข้อมูล ช่องโหว่และการเปิดเผยทั่วไปเป็นCVE - 2015-3456 ^{[ 6 ]}

QEMU เป็นอีมูเลเตอร์และไฮเปอร์ไวเซอร์ที่ใช้กันอย่างแพร่หลายซึ่งให้การจำลองอุปกรณ์และการจำลองเสมือนสำหรับแพลตฟอร์มต่างๆ และถูกนำมาใช้ซ้ำโดยระบบการจำลองเสมือนระดับสูง เช่น Xen และ KVM ^{[ 7 ]}

ช่องโหว่ VENOM เกิดจากข้อบกพร่องในการใช้งาน FDC ของ QEMU ซึ่งไม่ได้ใช้เฉพาะในการติดตั้ง QEMU แบบสแตนด์อโลนเท่านั้น แต่ยังใช้ในแพลตฟอร์มเวอร์ชวลไลเซชันและโครงสร้างพื้นฐานคลาวด์ต่างๆ ที่ฝังโค้ดที่เกี่ยวข้องด้วย^{[ 7 ] [ 8 ]}

ช่องโหว่นี้ถูกค้นพบโดย Jason Geffner นักวิจัยด้านความปลอดภัยอาวุโสของ CrowdStrike ระหว่างการตรวจสอบความปลอดภัยของไฮเปอร์ไวเซอร์เครื่องเสมือน CrowdStrike ได้ประสานงานการเปิดเผยข้อมูลกับผู้ดูแล QEMU และผู้จำหน่ายที่ได้รับผลกระทบ รวมถึง Xen Project และผู้ให้บริการการแจกจ่าย Linux ก่อนที่จะมีการประกาศปัญหาต่อสาธารณะ^{[ 9 ] [ 8 ]}

ช่องโหว่นี้ถูกเปิดเผยต่อสาธารณะเมื่อวันที่ 13 พฤษภาคม 2558 พร้อมกับเว็บไซต์และโลโก้ภายใต้ชื่อ "VENOM" และได้รับรหัส CVE-2015-3456 คำแนะนำด้านความปลอดภัยและการอัปเดตต่างๆ ถูกเผยแพร่อย่างรวดเร็วโดยผู้จำหน่าย เช่น Red Hat, SUSE, Oracle และ IBM ในช่วงหลายวันที่ตามมาหลังจากการเปิดเผย^{[ 10 ] [ 11 ] [ 12 ]}