|
快科技 7 月 13 日讯—— 安全公司 Nebula Security 近日披露,秒挖其自主研发的出潜 AI 驱动漏洞挖掘工具 VEGA,成功发现了一个代号 GhostLock的伏年 Linux 内核高危漏洞(编号:CVE-2026-43499)。 该漏洞自 2011 年随 Linux 2.6.39 版本引入以来,漏洞已在系统中潜伏长达 15 年。奖万由于隐蔽性极强,秒挖几乎涵盖所有主流 Linux 发行版默认配置,出潜却长期未被安全社区察觉。伏年攻击者无需任何特殊权限,漏洞仅通过普通线程调用即可实现 本地提权与 容器逃逸,奖万严重威胁系统安全。秒挖
技术深度解析:GhostLock 漏洞原理GhostLock 本质上是出潜位于内核 实时互斥锁(rtmutex)子系统中的一个 use-after-free(释放后使用)漏洞。其根源代码位于 漏洞触发逻辑如下: 利用效率与奖励Nebula Security 团队基于该漏洞构建了一条稳定性高达 97%的提权利用链。在测试环境中,从普通用户权限提升至 root权限仅需约 5 秒,攻击门槛极低且效率惊人。 鉴于该漏洞的严重性与发现难度,Google 通过 KernelCTF 漏洞奖励计划,向 Nebula Security 支付了 92,337 美元(约合人民币 61 万元)的奖金。 修复进展与行业影响目前,AlmaLinux等主流发行版已向生产仓库推送了内核修复补丁。华为云也迅速发布了漏洞公告,并提供了基于 seccomp的临时缓解方案,以保障用户系统安全。 此次发现标志着 AI 安全工具在自动化漏洞挖掘领域取得了实质性突破。过去,此类深层逻辑漏洞往往需要顶尖安全专家耗费数月时间逐行审查代码才能发现;如今,AI 工具已具备成规模、自动化地“翻阅”代码库并精准定位高危漏洞的能力,这将彻底改变网络安全防御与攻击的博弈格局。
|


