97 prosent. Så ofte gir exploiten for GhostLock en stabil root-shell, på rundt fem sekunder, ifølge Nebula Securitys egen writeup publisert 7. juli.
GhostLock (CVE-2026-43499) er en use-after-free i kjernens rt_mutex-kode, utløst via futex-subsystemet: mekanismen som hindrer en hasteoppgave i å bli stående bak en triviell en. Feilen finnes i alle kjerner fra 2.6.39-rc1 til 7.1-rc1 bygget med CONFIG_FUTEX_PI=y, altså praktisk talt hver eneste mainstream-distro siden 2011. Den krever ingen spesielle rettigheter, ingen uvanlige innstillinger og ingen nettverkstilgang. Vanlige tråd-kall fra et hvilket som helst lokalt program holder. Den bryter også ut av containere.
«GhostLock er en sårbarhet i Linux-kjernen, funnet av VEGA, som finnes i alle større distribusjoner siden 2011.» — Nebula Security, «IonStack part II»
Funnmetoden er den egentlige nyheten. VEGA er Nebula Securitys KI-drevne feilsøkingsverktøy, og GhostLock er andre del i selskapets IonStack-serie. Dager tidligere kom Bad Epoll, en nær slektning i den samme lite leste delen av gammel kjernekode. Mønsteret er at automatiserte verktøy nå kammer gjennom kodebaner ingen mennesker har gjenlest på år, i kode som har ligget urørt lenge nettopp fordi alle antok at den var gjennomgått.
CVSS-scoren er 7,8 og lander på høy, ikke kritisk, fordi angriperen må ha fotfeste på maskinen først. Det taket løftes fort: Nebula lenket GhostLock til en Firefox-feil og demonstrerte hele kjeden fra ett trykk på en dårlig lenke til full kontroll, mot Firefox på Android. Kjører du delte maskiner, container-verter eller selvhostede KI-tjenester på en VPS, bør du bekrefte pakkeversjonen framfor å anta at en fiks ligger klar. Wired rapporterer at Ubuntu i starten av juli fortsatt listet 24.04, 22.04 og 20.04 LTS som sårbare eller under arbeid, selv om feilen ble rettet oppstrøms i april. Byggeflaggene RANDOMIZE_KSTACK_OFFSET og STATIC_USERMODE_HELPER gjør exploiten vanskeligere, men de er avbøtende tiltak, ikke fikser.
«Ingen er kjent for å utnytte den i det fri, men Nebula har publisert fungerende exploit-kode, så hvem som helst kan kjøre den nå.» — The Hacker News
Google betalte 92 337 dollar for funnet gjennom kernelCTF-programmet. Beløpet sier noe om alvoret. Men den mest interessante regningen er den som aldri ble sendt: et KI-verktøy leste femten år gammel låsekode og fant det ingen kjerneutvikler hadde tenkt på å lete etter.