A Nebula Security publicou informações técnicas e código de exploração para uma vulnerabilidade no kernel do Linux que afeta todas as principais distribuições desde 2011.
Catalogada como CVE-2026-43499 e conhecida como GhostLock, a falha de segurança foi introduzida no Linux 2.6.39 e permaneceu oculta no kernel por 15 anos, até que um patch (atualização corretiva) fosse disponibilizado em abril.
GhostLock é uma vulnerabilidade do tipo use-after-free (uso após liberação de memória), introduzida por uma função auxiliar criada para limpar recursos após o encerramento de uma tarefa, como parte do sistema do kernel responsável por priorizar tarefas urgentes.
Normalmente, a função de limpeza removeria a tarefa atual. Por causa da falha, quando ocorre um deadlock (impasse entre processos) e há um rollback (retrocesso), a função libera a memória e a reutiliza enquanto existe um ponteiro指向 ela em outra tarefa.
O problema existe porque a função presume que a tarefa atual é aquela que precisa ser limpa. No entanto, quando é solicitada uma requeue (reinserção na fila), a função realiza a limpeza em nome de uma thread em estado de suspensão, e não da thread atual.
A Nebula Security afirma ter conseguido explorar a vulnerabilidade para controlar a memória liberada inadvertidamente e obter escalonamento local de privilégios (local privilege escalation) até o nível de root (administrador).
A empresa também demonstrou que a falha poderia ser explorada para realizar um escape de contêiner (container escape) no programa kernelCTF do Google, recebendo uma recompensa de US$ 92.337 por meio do programa de bug bounty (recompensa por falhas) da empresa.
GhostLock é a mais recente de uma série de falhas do kernel do Linux que foram divulgadas publicamente nos últimos meses. A lista inclui também Januscape, Bad Epoll, DirtyClone, CIFSwitch, DirtyDecrypt (também conhecido como DirtyCBC), Fragnesia e Dirty Frag.