
Investigadores da Nebula Security divulgaram os detalhes da GhostLock (CVE-2026-43499), uma vulnerabilidade no kernel do Linux com 15 anos que permite a qualquer utilizador com sessão iniciada assumir o controlo total da máquina. A falha afeta a grande maioria das distribuições desde 2011 e não exige permissões especiais ou acesso à rede para ser explorada de forma local.
Impacto real e a cadeia IonStack
A vulnerabilidade baseia-se num erro de gestão de memória, conhecido como use-after-free, que ocorre num processo de limpeza de tarefas em espera no kernel. Quando uma operação de bloqueio atinge um beco sem saída e retrocede, o sistema limpa os registos no momento errado, confiando num apontador de memória que já foi descartado e reutilizado. De acordo com a documentação publicada no NVD, o problema regista uma pontuação de 7.8 (alta).
A equipa da Nebula Security conseguiu transformar este erro num exploit funcional com 97% de fiabilidade nos seus testes, capaz de escapar a contentores e executar código como administrador (root) em cerca de cinco segundos. Esta descoberta valeu aos investigadores uma recompensa de cerca de 84.500 euros (92.337 dólares) através do programa kernelCTF da Google, tendo o problema sido identificado inicialmente pela ferramenta de inteligência artificial VEGA.
A GhostLock ganha contornos mais graves quando opera como a segunda metade da cadeia batizada de IonStack. A primeira metade (CVE-2026-10702) é uma vulnerabilidade no navegador Firefox que executa código e escapa da sandbox. Esta combinação permite que um simples clique numa ligação maliciosa no sistema Android resulte num comprometimento remoto total do dispositivo.
O que deves fazer para mitigar o problema
A falha junta-se a outras vulnerabilidades recentes de escalada de privilégios, como a Bad Epoll (CVE-2026-46242) e a Copy Fail (CVE-2026-31431). A correção original para a GhostLock foi lançada em abril (versão 3bfdc63936dd), mas introduziu um erro que causa o encerramento inesperado do sistema (CVE-2026-53166), cuja resolução ainda se encontrava a estabilizar no início de julho.
É fundamental garantires que o teu Linux recebe o pacote mais recente do kernel e não apenas a primeira versão do patch. A disponibilidade das atualizações tem sido irregular. No caso do Ubuntu, as versões 24.04, 22.04 e 20.04 LTS ainda estavam listadas como vulneráveis ou em processo de correção no início do mês.
Como medidas provisórias, a ativação de opções de compilação como RANDOMIZE_KSTACK_OFFSET e STATIC_USERMODE_HELPER dificulta a exploração do erro, embora não o elimine. A aplicação das correções oficiais em servidores em nuvem, contentores e máquinas partilhadas deve ser a principal prioridade dos administradores de sistemas.












Nenhum comentário
Seja o primeiro!