Schwachstelle im Linux-Kernel

Sicherheitslücke gefährdet fast alle Linux-Distributionen

Linux
Bildquelle: Shutterstock/jivacore

Mit der 15 Jahre alten Linux-Sicherheitslücke GhostLock erlangen lokale Angreifer vollständige Root-Rechte und brechen aus Software-Containern aus.

Sicherheitsforscher von Nebula Security haben eine gravierende Schwachstelle im Linux-Kernel dokumentiert. Die unter der Kennung CVE-2026-43499 geführte Sicherheitslücke namens GhostLock existiert seit dem Jahr 2011 und betrifft nahezu alle gängigen Linux-Distributionen im Standardzustand. Für das Ausnutzen der Lücke sind weder administrative Rechte noch Netzwerkzugriffe erforderlich. Gewöhnliche Threading-Aufrufe eines lokalen Programms genügen, um die vollständige Kontrolle über das System als Root-Benutzer zu erlangen oder aus isolierten Software-Containern auszubrechen. Google prämierte die Entdeckung im Rahmen seines kernelCTF-Programms mit einer Prämie von 92.337 US-Dollar.

Anzeige

Der Fehler liegt im Prioritätsvererbungssystem des Kernels, das Blockaden bei dringenden Systemaufgaben verhindern soll. Wenn eine Sperroperation abgebrochen werden muss, wird die Bereinigung zum falschen Zeitpunkt ausgeführt. Dies führt zu einem sogenannten Use-after-free-Fehler, bei dem das System auf bereits freigegebene und neu belegte Speicherbereiche verweist.

Verbreitung und unregelmäßige Bereitstellung von Patches

Die Lücke wurde mit dem Kernel-Patch 3bfdc63936dd im April geschlossen, die Verteilung verläuft jedoch unregelmäßig. Frühe Fehlerkorrekturen verursachten einen separaten Systemabsturz unter CVE-2026-53166, weshalb Administratoren direkt neuere Kernel-Versionen installieren müssen. Große Distributionen wie Ubuntu prüfen oder patchen ältere Versionen wie 24.04, 22.04 und 20.04 LTS teilweise noch.

Bestimmte Build-Optionen erschweren das Ausnutzen der Schwachstelle:

Anzeige
  • RANDOMIZE_KSTACK_OFFSET
  • STATIC_USERMODE_HELPER

Diese Einstellungen dienen jedoch nur als Schadensminderung und ersetzen keinen vollständigen Patch. Prioritär abgesichert werden sollten gemeinsam genutzte Systeme, Cloud-Server und Container-Umgebungen.

Kombination zu komplexen Angriffsketten

Entdeckt wurde GhostLock durch das KI-gestützte Sicherheitswerkzeug VEGA. Es reiht sich in eine Serie von Kernel-Schwachstellen im Jahr 2026 ein, die durch automatisierte Suchwerkzeuge in altem, selten geprüftem Quellcode gefunden wurden. Dazu gehört auch die verwandte Schwachstelle Bad Epoll (CVE-2026-46242), die auch Android-Systeme betrifft.

Obwohl derzeit keine aktiven Angriffe bekannt sind, hat das Forschungsteam funktionstüchtigen Exploit-Code mit einer Zuverlässigkeit von 97 Prozent veröffentlicht. Die Forscher demonstrierten zudem eine vollständige Angriffskette namens IonStack. Dabei wird GhostLock mit einer Schwachstelle im Webbrowser Firefox unter CVE-2026-10702 kombiniert. Über das Aufrufen eines schädlichen Links auf einem Android-Gerät lässt sich so aus der Browser-Sandbox ausbrechen und die vollständige administrative Kontrolle über das Betriebssystem erlangen.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.