A maioria das soluções de virtualização "leves" são mais ou menos baseadas na ideia chroot - com processos ocultos do "mestre". Eu não vi nenhum CERT sobre problemas lá, mas isso não parece ser o que você está procurando.
Uma abordagem de hipervisor pode ser mais a direção que você está procurando - mas eu não consideraria isso como "leve" (também um PV XEN DomU é bastante rápido). Estritamente falando, o Dom0 não inicia o DomU - ele diz ao Hypervisor para fazer isso - mas tem CERTs sobre escalação de privilégios (VMWare ESX e XEN). Eu não sei sobre o Hyper-V embora.
Para um melhor isolamento dos direitos do usuário - onde há um processo de espaço de usuário gerando uma VM "isolada", há o VirtualBox - mas novamente - não leve. Isso é virtualização completa, mas as VMs podem ser iniciadas como usuário "normal". O usuário tem que ter acesso ao disco subjacente - e se você quiser / precisar - usb-devices.
Além disso, há um módulo do kernel para o material de rede, que parece funcionar muito bem (usando o DKMS).