Nach Angaben von Nebula Security handelt es sich bei GhostLock um einen Use-after-free-Fehler im Linux-Kernel. Die Schwachstelle steckt in einer Hilfsfunktion, die aufräumen soll, nachdem eine Aufgabe geschlossen wurde. Sie ist Teil des Kernel-Mechanismus zur Priorisierung dringender Aufgaben.
Im Normalfall würde diese Bereinigungsfunktion die aktuelle Aufgabe freigeben. Der Fehler tritt laut der veröffentlichten technischen Beschreibung dann auf, wenn es zu einem Deadlock kommt und ein Rollback ausgeführt wird: Die Funktion gibt Speicher frei und verwendet ihn erneut, obwohl in einer anderen Aufgabe noch ein Zeiger auf diesen Speicher existiert.
Die Ursache liegt laut Nebula Security darin, dass die Funktion davon ausgeht, die aktuelle Aufgabe sei stets diejenige, die bereinigt werden müsse. Wird jedoch ein Requeue angefordert, räumt die Funktion nicht für die aktuelle Aufgabe auf, sondern im Namen eines schlafenden Threads. Dadurch entsteht die fehlerhafte Speichernutzung.
Nebula Security erklärt, die Schwachstelle so ausgenutzt zu haben, dass sich der unbeabsichtigt freigegebene Speicher kontrollieren ließ. Auf diesem Weg sei eine lokale Rechteausweitung bis auf Root-Rechte möglich gewesen. Zusätzlich zeigte das Unternehmen im Rahmen von Googles kernelCTF-Programm, dass sich der Fehler auch für einen Ausbruch aus einem Container einsetzen lässt.
Für diese Demonstration erhielt Nebula Security nach eigenen Angaben eine Bug-Bounty-Prämie von 92.337 US-Dollar. Die Schwachstelle wird unter der Kennung CVE-2026-43499 geführt und trägt den Namen GhostLock. Eingeführt wurde sie mit Linux 2.6.39; ein Patch wurde im April ausgerollt.
GhostLock ist laut Bericht die jüngste in einer Reihe von Linux-Kernel-Schwachstellen, die in den vergangenen Monaten öffentlich bekannt wurden. Genannt werden außerdem Januscape, Bad Epoll, DirtyClone, CIFSwitch, DirtyDecrypt, auch als DirtyCBC bezeichnet, Fragnesia und Dirty Frag.
