Falha de 15 anos no Linux rende recompensa de US$ 92 mil a pesquisadores

Pesquisadores da Nebula Security divulgaram detalhes técnicos e um código de exploração para uma vulnerabilidade no kernel Linux que afeta as principais distribuições do sistema operacional desde 2011.

Rastreada como CVE-2026-43499 e apelidada de GhostLock, a falha foi introduzida no Linux 2.6.39 e permaneceu sem ser identificada por aproximadamente 15 anos. Uma correção para o problema foi disponibilizada em abril.

A GhostLock é uma vulnerabilidade do tipo use-after-free, condição em que um programa continua utilizando uma região da memória depois que ela já foi liberada. O problema foi introduzido em uma função auxiliar criada para realizar a limpeza de tarefas encerradas, dentro do mecanismo utilizado pelo kernel para priorizar tarefas consideradas urgentes.

Em condições normais, a função de limpeza remove os dados associados à tarefa atual. No entanto, quando ocorre um deadlock e o sistema precisa executar uma operação de reversão, a falha faz com que a memória seja liberada e reutilizada enquanto outra tarefa ainda mantém um ponteiro para essa região.

O problema ocorre porque a função pressupõe que a tarefa atual é sempre aquela que precisa ser limpa. Porém, quando uma operação de requeue é solicitada, o processo de limpeza pode ser executado em nome de uma thread em estado de espera, e não da tarefa atualmente em execução.

Segundo a Nebula Security, os pesquisadores conseguiram explorar a vulnerabilidade para controlar a memória liberada indevidamente e realizar uma escalada local de privilégios, obtendo acesso root ao sistema.

A equipe também demonstrou que a GhostLock poderia ser utilizada para escapar de um contêiner durante testes realizados no programa kernelCTF, do Google. A descoberta rendeu aos pesquisadores uma recompensa de US$ 92.337.

A GhostLock é mais uma entre diversas vulnerabilidades no kernel Linux divulgadas publicamente nos últimos meses. A lista inclui falhas conhecidas como Januscape, Bad Epoll, DirtyClone, CIFSwitch, DirtyDecrypt — também chamada de DirtyCBC —, Fragnesia e Dirty Frag.

Administradores e usuários de sistemas Linux devem verificar se suas distribuições já disponibilizaram as atualizações de segurança correspondentes e aplicar as correções o mais rápido possível, principalmente em servidores, ambientes virtualizados e infraestruturas que utilizam contêineres.

Para saber mais, clique aqui.

Descubra mais sobre SegInfo - Portal, Podcast e Evento sobre Segurança da Informação

Assine agora mesmo para continuar lendo e ter acesso ao arquivo completo.

Continuar lendo