GhostLock (CVE-2026-43499) : stack-UAF dans le noyau Linux depuis 15 ans, exploit stable à 97%

🔍 Contexte Publié le 7 juillet 2026 par Nebula Security (nebusec.ai), cet article de recherche détaille GhostLock (CVE-2026-43499), une vulnérabilité de type stack Use-After-Free (UAF) dans le noyau Linux, découverte par l’équipe VEGA. La faille a été récompensée par Google à hauteur de 92 337 USD dans le cadre du programme kernelCTF. 🐛 Vulnérabilité Type : Stack Use-After-Free (stack-UAF) Composant affecté : kernel/locking/rtmutex.c, fonction remove_waiter() Versions affectées : Linux v2.6.39-rc1 à v7.1-rc1 (introduite en 2011 avec le rework rtmutex) Condition requise : CONFIG_FUTEX_PI=y uniquement — aucun privilège, aucun namespace utilisateur requis Cause racine : remove_waiter() efface current->pi_blocked_on au lieu de waiter->task->pi_blocked_on sur le chemin proxy (rt_mutex_start_proxy_lock()), laissant un pointeur dangling vers une stack frame libérée ⚙️ Mécanisme d’exploitation L’exploit nécessite trois futex et trois threads pour construire un cycle de dépendance PI déclenchant un -EDEADLK : ...

11 juillet 2026 · 3 min
Dernière mise à jour le: 11 juillet 2026 📝