كشف باحثون أمنيون عن ثغرة خطيرة في نواة نظام التشغيل Linux، ظلت كامنة في جميع التوزيعات الرئيسية لأكثر من عقد ونصف، تتيح لمهاجم محلي السيطرة الكاملة على الأنظمة المتأثرة. تحدث الثغرة (CVE-2026-43499 بتقييم CVSS عند 7.8)، الملقبة بـ “GhostLock”، نتيجة خلل من نوع “الاستخدام بعد التحرير” (Use-After-Free) في النظام الفرعي rtmutex، وتمتد جذورها إلى إصدار النواة 2.6.39 الذي صدر عام 2011.
يكمن الخلل في دالة remove_waiter() داخل ملف kernel/locking/rtmutex.c، والتي صممت لتنظيف مؤشر pi_blocked_on الخاص بالمهمة الجاري تنفيذها عند إلغاء قفل rtmutex. بيد أن المسار البرمجي المسمى “Requeue-PI” يستدعي هذه الدالة نيابة عن مهمة أخرى نائمة، ما يؤدي إلى مسح المؤشر الخطأ وبقاء مؤشر معلق يشير إلى ذاكرة مكدس تم تحريرها بالفعل. هذا المؤشر الواهم يتحول إلى ثغرة من نوع “الاستخدام بعد التحرير” تسمح للمهاجم بالتلاعب بذاكرة النواة.
وبحسب التحليل التقني الذي نشرته شركة Nebula Security، فإن استغلال الثغرة لا يتطلب أي إعدادات خاصة أو صلاحيات مرتفعة، بل يكفي وجود دعم CONFIG_FUTEX_PI، وهو خيار مفعل افتراضياً في معظم توزيعات Linux. وقد طور الفريق البحثي استغلالاً يحقق نسبة نجاح تصل إلى 97%، ويسمح لبرمجية خبيثة تعمل بصلاحيات مستخدم عادي بتصعيد الامتيازات إلى مستوى “الجذر” (root)، إضافة إلى إمكانية الهروب من حاويات التطبيقات لتهديد البنية التحتية السحابية.
أثمرت جهود الباحثين عن مكافأة مالية قدرها 92,337 دولاراً أميركياً من برنامج kernelCTF الذي تديره Google. وأكدت الشركة أنها لم ترصد أي دليل على استغلال الثغرة في هجمات فعلية قبل الكشف عنها، لكنها شددت على ضرورة التحديث الفوري نظراً لسهولة تطوير هجمات موثوقة.
تم إصلاح الثغرة في إصدار النواة 7.1 عبر التعليمة البرمجية 3bfdc63936dd، كما نُشرت التصحيحات الخلفية لفروع النواة المستقرة طويلة الدعم (LTS). .
يظل تأثير الثغرة على نظام أندرويد قيد التقييم، وفقاً لما أورده الباحثون في منشورهم. ومع ذلك، فإن النطاق الواسع للإصدارات المتأثرة، من النواة 2.6.39 حتى ما قبل 7.1، يعني أن أي خادم أو محطة عمل أو جهاز يعمل بنواة Linux غير محدثة يظل عرضة للخطر. لذا توصي الفرق الأمنية بمراجعة إصدار النواة فوراً وتطبيق التصحيحات الصادرة عن الموزعين المعتمدين.








