El 9 de gener de 2026 Ubuntu va publicar l’avís de seguretat USN-7940-2, que actualitza el kernel Linux a Ubuntu 24.04 LTS i corregeix, entre més d’un centenar de vulnerabilitats, una de coneguda com a VMSCAPE (CVE-2025-40300). Es tracta d’un error de la família de vulnerabilitats d’execució especulativa que afecta entorns virtualitzats.
Què és VMSCAPE
VMSCAPE és un error d’aïllament insuficient del predictor de salts (branch predictor) entre una màquina virtual convidada i l’hipervisor que s’executa en espai d’usuari, com QEMU. A les CPU modernes, el predictor de salts intenta anticipar el flux del programa per accelerar l’execució. Quan aquest estat no s’aïlla correctament en sortir d’una VM, un atacant situat dins del convidat pot “enverinar” el predictor per influir en l’execució especulativa del procés de l’hipervisor a l’amfitrió.
El resultat és una via de fuga: un atacant dins d’una VM convidada podria arribar a exposar informació sensible del sistema amfitrió. És una variant del problema clàssic de canal lateral per execució especulativa (en la línia d’Spectre) i afecta processadors x86.
A qui afecta
L’avís d’Ubuntu se centra en Ubuntu 24.04 LTS i, concretament, en els kernels per a instàncies Azure (incloses les variants amb suport NVIDIA), on la virtualització és l’escenari habitual. De manera més àmplia, segons la base de dades NVD, el problema toca nombroses versions del kernel Linux (branques estables 5.10, 5.15, 6.1, 6.6 i 6.12, entre d’altres).
El públic més exposat són els operadors d’infraestructura virtualitzada: proveïdors cloud, hosting i qualsevol desplegament on diverses VM no fiables comparteixen el mateix host físic. En un equip d’escriptori sense VM no fiables, el risc pràctic és molt menor.
Gravetat
VMSCAPE està qualificat per NVD amb un CVSS 3.1 de 5.5 (gravetat mitjana), vector AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H. Això reflecteix que requereix accés local amb privilegis baixos dins del convidat i que no hi ha interacció d’usuari. La mitigació del kernel introdueix una barrera IBPB (Indirect Branch Predictor Barrier) condicional després de les sortides de la VM per protegir l’hipervisor en espai d’usuari.
Cal matisar: tot i que la seva puntuació és mitjana, el veritable valor de VMSCAPE per a un atacant és com a baula d’una cadena, combinant-lo amb altres errors per construir un exploit fiable contra l’amfitrió.
Mitigació i pegat
La recomanació és directa: aplicar les actualitzacions del kernel distribuïdes per Ubuntu. L’avís USN-7940-2 corregeix el kernel a 24.04 LTS i, a més de VMSCAPE, resol més d’un centenar de CVE addicionals en múltiples subsistemes (ARM64, PowerPC, x86, criptografia, xarxa, emmagatzematge i sistemes de fitxers).
Passos pràctics:
- Executa
sudo apt update && sudo apt upgradeper instal·lar el kernel corregit. - Reinicia el sistema: el canvi només té efecte després d’un reinici, ja que el kernel en execució no es reemplaça en calent.
- Si fas servir mòduls de kernel de tercers, recompila’ls: l’avís indica que hi va haver un canvi d’ABI.
Per a màquines que no poden reiniciar-se immediatament, convé prioritzar els hosts que executen VM de baixa confiança, ja que són l’escenari on VMSCAPE té sentit real.
Si gestiones servidors Ubuntu en producció, aquesta actualització és un bon moment per revisar la teva estratègia de hardening i aïllament. Pots consultar la nostra fitxa d’Ubuntu per a més context sobre el cicle de suport de la distribució.
Font
- Avís original: Ubuntu Security Notice USN-7940-2
- Detall de la vulnerabilitat: CVE-2025-40300 a NVD