Linux のすべてのディストリビューションに 15 年間存在しているスタック系 UAF「GhostLock」

2026/07/11 5:43

Linux のすべてのディストリビューションに 15 年間存在しているスタック系 UAF「GhostLock」

RSS: https://news.ycombinator.com/rss

要約

Japanese 翻訳:

GhostLock(CVE-2026-43499)は、2011 年から 2026 年 4 月までの主要なすべての Linux ディストリビューションに影響を与える、重大な長年のスタック使い捨て後の解放(stack-use-after-free)脆弱性である。これは

remove_waiter()
関数内の論理的誤りに起因しており、攻撃者が再割当された内核スタック上で偽の構造体を作成することでシステムを劫奪し、セキュアなコンテナから脱出することを可能にする。VEGA の研究者らは、この理論的な欠陥を KERNELCTF コンプーティションにおいて安定した成功確率 97% の権限昇格エクスプロイトに変換することに成功し、その功績として Google から 92,337 ドルもの賞金を受賞した。攻撃メカニズムは、依存関係のサイクルを構築して
-EDEADLK
ロールバックを引き起こし、制御フローを劫奪するための制御されたポインタ記述を可能にするものである。システム整合性へのこの深刻なリスクに対処するため、Google は 2026 年 4 月に遡及される公式修正(コミット
3bfdc63936dd
)を発表し、
remove_waiter()
内の論理誤りを是正した。組織には、被曝に即座にアップグレードするか、あるいはエクスプロイトに必要な特定の攻撃表面を破壊する
RANDOMIZE_KSTACK_OFFSET
セキュリティ機能を有効化するよう促される。

本文

研究報告:IonStack Part II ~ GhostLock ~ 15 年間もすべての Linux ディストリビューションに存在する「スタック系 UAF」Vulnerability (CVE-2026-43499)

概要と発見の背景

GhostLock (CVE-2026-43499) は、VEGA が発見した Linux カーネルの重大な脆弱性です。

  • 発見期間: 2011 年以降(Linux 2.6.39)、2026 年 4 月に修正されるまで約15 年間存在しました。
  • 影響範囲: すべての主要な Linux ディストリビューションおよびバージョン(v2.6.39-rc1 〜 v7.1-rc1)。
  • 発症条件: 特別なカーネル設定や権限、隔離環境が不要です。
    CONFIG_FUTEX_PI=y
    のみ必要。
  • 成功率: 97% の確率で成功する権限昇降(Privilege Escalation)およびコンテナ脱出手段に変換可能。
  • 賞金: Google kernelCTF において、$92,337 ドルが支払われました。

脆弱性を利用した攻撃者の能力

非特権のローカル攻撃者は以下の操作が可能になります:

  • 通常のスレッド系システムコールのみを用いて、カーネルスタック領域への「ダングリング(未使用だが存在する)カーネルポインタ」を取得。
  • ほぼ任意のアドレスへのポインタを書き込む。
  • 関数テーブル(Function Table)をハイジャックして制御フローを乗っ取り、最終的に root アクセス を取得。

脆弱性の技術的詳細:概要と根本原因

導入経緯

  • 脆弱性はコミット
    8161239a8bcc
    ("rtmutex: Simplify PI algorithm...") の
    rtmutex
    改修に伴い導入されました。
  • 修正コミット:
    3bfdc63936dd
    ("rtmutex: Use waiter::task instead of current in remove_waiter()") によって 2026 年 4 月に修正済み。

根本原因:ライフサイクル管理の誤り

kernel/locking/rtmutex.c
remove_waiter()
関数が、呼び出し元のスレッド(
current
)と実際の待ち行列オブジェクト(ウェイター)が一致しない状況で誤った挙動を示します。

  • 設計意図: 関数は当初、「スレッド自身がブロックされ、自分自身をクリーンアップする」シナリオ用として書かれていました。
    // 誤った実装の例(簡略化)
    raw_spin_lock(&current->pi_lock);              // "現在のスレッド" のロック
    rt_mutex_dequeue(lock, waiter);
    current->pi_blocked_on = NULL;                 // "現在のスレッド" を対象にクリア
    
  • 現実の挙動:
    rt_mutex_start_proxy_lock()
    経由で、別のスリープ中のスレッド(ウェイター)のためにクリーンアップを行う場合があります。
    • この時、
      current
      は実際のウェイターではなく、再キューイングを要求したスレッドです。
    • しかしコードは誤って
      current->pi_blocked_on
      をクリアします。

ダングリングポインタの生成(Use-After-Free)

ウェイタータスクは睡眠状態にあるため、カーネルスタック上にオブジェクトが存在しますが、そのポインタが「解放」されます:

  1. プロキシーパス:
    FUTEX_CMP_REQUEUE_PI
    で別の futex へ移動を試みます。
  2. デッドロック検出: チェーンウォークにより
    -EDEADLK
    が返されロールバック処理が実行されます。
  3. 誤ったクリア: ロールバック処理で
    current->pi_blocked_on
    が NULL 化されますが、実際のウェイター(別のスレッド)のポインタはスタック上で存在し続けます。
  4. UAF 発動: ユーザー空間に戻る瞬間にスタックが解放され、ダングリングなカーネルポインタがユーザー空間に残ります。これを通じて任意のアドレスへの書き込みが可能になります。

エクスプロイトの構成要素

エクスプロイトは以下のステップで構成されています:

  1. Prefetch: カーネルイメージのシフト量(Slide)と物理マップベース(Physmap Base)をリーク。
  2. GhostLock: ダングリングな
    rt_mutex_waiter
    を残す。
  3. Reclaim (スタック系-UAF 再回収):
    PR_SET_MM_MAP
    を用い、解放されたフレームの上に偽の
    rt_mutex_waiter
    を作成。
  4. Arbitrary Address Writer: Rtmutex rb-tree の erase 機能を悪用し、関数テーブル(例:
    inet6_protos[IPPROTO_UDP]
    )を上書き。
  5. Control Flow Hijack (CFH): CPU エントリ領域 (CEA) を活用し、ループバックパケットを送信して制御フローをハイジャック。
  6. DirtyMode:
    core_pattern
    のモードビットを反転させ、以降の処理をユーザー空間で完結させる。

アンドロイドへの適用可能性

本稿は汎用 x86 Linux システムを対象としていますが、アンドロイドでも同様の手法が可能です:

  • スタックフレームの再回収(
    PR_SET_MM_MAP
    など)。
  • ASLRCFI の両方を回避する手法の適用。

技術的アプローチの詳細

1. ASLR リーク (Prefetch)

  • 特定のアドレスへのプレフェッチは、ページテーブルのマッピング状態によって異なるサイクル数を実行します。
  • これを計測することで、非特権プロセスがカーネルイメージのベースアドレス(KASLR)を復元できます。
    • Linux はデフォルトでランダム化を強く行わないため、理論上 100% の確度で復元可能。

2. CEA スプレイとランダム化回避

  • CEA (CPU Entry Area): 例外処理時に使用される CPU 固有の領域(物理アドレスは固定)。
  • プログラムがソフトウェア例外を引き起こすと、CEA のスタックに
    pt_regs
    が保存されます。
  • 物理オフセットは固定されているため、ダイレクトマップアライアスを容易に計算可能です:
    cea_direct = physmap_base + CPU1_CEA_BASE
    
  • これにより、約 120 バイトの制御可能なメモリ領域を既知のアドレスで利用できます。

3. スタック再利用:PR_SET_MM_MAP

  • prctl(PR_SET_MM, PR_SET_MM_MAP, ...)
    を呼び出すことで、解放されたウェイターのスタック上にあるフレームを再利用します。
  • バッファー(
    user_auxv
    )が古いオブジェクトの上に自然に重なるため、名前空間を必要とせず制御可能な領域を獲得できます。
    // 偽造されたウェイターの構成例
    tree:   rb ノード(消去してポインタ操作)
    task:   &init_task
    lock:   target - 8 (書き込みのターゲット)
    wake_state: 0
    

4. 任意アドレスへの書き込み

  • 手法:
    rt_mutex_dequeue()
    (rb-tree の erase)を利用。子ノードを持つルートを検去すると、その子をルートスロットに書き込む処理を行います。
  • 制約:
    • ターゲット前:ロックされていない状態である必要がある。
    • 後続データ:未マップな値がないことが必須(マシンのパニックを防ぐため)。
  • ターゲット例:
    inet6_protos[IPPROTO_UDP]
    // ライアウトの要約
    target - 8  -> raw_spinlock_t wait_lock (ロックされていない)
    target      -> waiters.rb_root.rb_node       (ここに書き込み)
    target + 8  -> waiters.rb_leftmost
    target + 16 -> owner
    

5. Control Flow Hijack (CFH)

  • 上書きされたハンドラー(
    inet6_protocol.handler
    )をトリガーすることで、ループバック IPv6 UDP パケットを送信させます。
  • これにより PC(プログラムカウンタ)制御を取得し、ROP(Return Oriented Programming)チェーンを実行します。

6. DirtyMode と core_pattern

  • 目的: 1 回の書き込みで
    core_pattern
    のモードビットを反転させ、以後の権限昇降処理をユーザー空間で行えるようにする。
  • ターゲット:
    coredump_sysctls[1].mode
    (書き込み可能なカーネルデータ)。

まとめと提言

  • 脆弱性の深刻度: 特別な環境設定が不要なため、97% の確率で攻撃に成功し、root 権限取得が可能。
  • 影響対象: Linux v2.6.39 以降のすべてのバージョン(最新 LTS バージョン含む)は影響を受けます。
  • 対策:
    • アップグレード: 最新版の LTS (Long Term Support) バージョンへのアップグレードを検討することを強く推奨します。
    • パッチ適用: VEGA が提出したパッチを適用してください。

パッチと緩和策

修正されたコード(

kernel/locking/rtmutex.c
)では、以下の点が改善されました:

  • remove_waiter()
    関数内で、常に実際のウェイタータスク
    waiter->task
    )のロックを使用するように変更されています。
  • ポインタクリアとチェーンウォーク処理を正しく実装したスレッドを対象に行うように修正されました。

追加の緩和策

  • RANDOMIZE_KSTACK_OFFSET: これをオンにすると、スタック再利用ステップは失敗するため、攻撃パスが阻断されます(デフォルトではオフ)。
  • STATIC_USERMODE_HELPER: 特定の DirtyMode パスを閉じます。

開発者へのお知らせ

本研究は VEGA の「CyberMeowfia」プロジェクトの一環として公開されました。完全なエクスプロイトコードや詳細な分析については、同プロジェクトのリポジトリをご参照ください。

同じ日のほかのニュース

一覧に戻る →

2026/07/11 7:30

エインシュタインの特殊相対性理論が重元素の化学結合に規則を与える、新しい研究で示された

## Japanese Translation: ブラウン大学のライ・シェン・ワン教授率いる研究チームは、光電子分光法を用いて、炭素とビスマス分子を絶対零度に近い温度まで冷却させ、高校化学における基本的な法則を覆しました。『Science』に発表されたこの研究では、相対性理論が、ビスマスなどの非常に重い元素における結合形成に多大なる影響を与えることを、初めて直接的な実験的事実として示しました。従来のモデルでは三重結合は 1 つのシグマ結合と 2 つのパイ結合から構成されると予測されますが、相対論的効果(具体的にはスピン軌道結合)によりこれらの軌道タイプが混在したり「ばらつき」を示したりします。分析の結果、明確なシグマ結合とパイ結合ではなく、1 つのパイ結合と 2 つのハイブリッド型シグマ・パイ結合を持つ独自の配置が確認されました。この発見は数十年にわたる相対論的効果に関する理論を裏付けたものですが、教育カリキュラムや基礎的な科学的モデルの大幅な更新を必要とします。また、ビスマスは非毒性太陽電池や量子計算に関連するため、これらの発見は新たな技術応用の扉を開く可能性があり、科学者が高度な化学や材料科学に取り組む方法に画期的な転換をもたらすものです。 ## Text to translate: Improved Summary: Brown University chemists, led by Professor Lai-Shens Wang, have overturned a fundamental rule of high school chemistry using photoelectron spectroscopy on carbon-bismuth molecules cooled to near absolute zero. Published in *Science*, their study provides the first direct experimental proof that Einstein's theory of relativity drastically changes bond formation in very heavy elements like bismuth. While traditional models predict triple bonds consist of one sigma and two pi bonds, relativistic effects (specifically spin-orbit coupling) cause these orbital types to mix or "smear" together. Instead of distinct sigma and pi bonds, the analysis revealed a unique configuration with one pi bond and two hybrid sigma-pi bonds. This discovery validates decades-old theories about relativistic effects but necessitates major updates to educational curricula and foundational scientific models. Additionally, because bismuth is relevant to non-toxic solar cells and quantum computing, these findings could unlock new technological applications, marking a pivotal shift in how scientists approach advanced chemistry and material science.

2026/07/11 5:47

Apple が高圧的に訴訟を起こし、旧従業員が商標秘密の漏洩を訴える

## 日本語翻訳: Apple は、米国カリフォルニア北区地方裁判所にOpenAI を告訴し、現在勤務中の従業員および元従業員を巻き込んだ調整された取り組みを通じて商標秘密を窃取したことを同社に非難している。原告は特に、元 Apple の副社長であるタン・タン氏と、シニアエンジニアのチャン・リュー氏を被告として特定しており、不適切な行為は 2024 年初頭およびそれぞれ 2026 年に Apple を離れる前から始まったと主張している。この問題は、ジョニー・アイブ氏のスタートアップである io を 65 億ドルで購入した OpenAI の買収が引き金となり、さらに 50 人以上の元 Apple 社員をその系列に加え、OpenAI に在籍する 400 人を超える現行従業員が以前 Apple との関連を持っていたことに起因して深刻化している。訴訟では、未公開技術に関する機密情報の盗難を経営層が日常業務として認めるという重大な不適切行為の詳細が含まれており、具体的な事例としては、セキュリティ上の脆弱性を活用してエンジニアリングファイル 1,000 ページ以上をダウンロードした事件、新しい従業員に対して「必要と知るだけ」の内部文書にセキュリティプロトコルを含む情報を配布した出来事、および採用面接中に現役 Apple 社員からハードウェア部品を購入するよう勧誘した行為などが挙げられる。また、OpenAI は信頼できるパートナーに対し独自開発されたメタルフィニッシング技術を誤って説明し、サプライヤーに対して内部用語を使用したことも非難されている。Apple はこれらの懸念を 2 月に提起したが、OpenAI から適切な調査がなされることはなかったと述べている。OpenAI が最初の消費者向けハードウェアデバイスの発売に向けて準備を進める中、この法的対立は遅延や損害をもたらす恐れがあり、才能ある労働者が競争相手の間で移動する際に高い情報漏洩リスクがあることへの懸念の中で、AI ハードウェア市場における商標秘密保護の重要な先例を設けるものとなる。 ## テキストを翻訳する: (必要に応じて;そうでない場合は元のテキストを繰り返す): ## サマリー: Apple は、米国カリフォルニア北区地方裁判所に OpenAI を訴え、現在および元従業員による調整された取り組みを通じて商標秘密を窃取したと非難している。原告は特に、元 Apple の副社長であるタン・タン氏とシニアエンジニアのチャン・リュー氏を被告として特定しており、不適切な行為は 2024 年初頭およびそれぞれ 2026 年に Apple を離れる前から始まったと主張している。この問題は、ジョニー・アイブ氏のスタートアップである io を 65 億ドルで購入した OpenAI の買収が引き金となり、さらに 50 人以上の元 Apple 社員をその系列に加え、OpenAI に在籍する 400 人を超える現行従業員が以前 Apple との関連を持っていたことに起因して深刻化している。訴訟では、未公開技術に関する機密情報の盗難を経営層が日常業務として認めるという重大な不適切行為の詳細が含まれており、具体的な事例としては、セキュリティ上の脆弱性を活用してエンジニアリングファイル 1,000 ページ以上をダウンロードした事件、新しい従業員に対して「必要と知るだけ」の内部文書にセキュリティプロトコルを含む情報を配布した出来事、および採用面接中に現役 Apple 社員からハードウェア部品を購入するよう勧誘した行為などが挙げられる。また、OpenAI は信頼できるパートナーに対し独自開発されたメタルフィニッシング技術を誤って説明し、サプライヤーに対して内部用語を使用したことも非難されている。Apple はこれらの懸念を 2 月に提起したが、OpenAI から適切な調査がなされることはなかったと述べている。OpenAI が最初の消費者向けハードウェアデバイスの発売に向けて準備を進める中、この法的対立は遅延や損害をもたらす恐れがあり、才能ある労働者が競争相手の間で移動する際に高い情報漏洩リスクがあることへの懸念の中で、AI ハードウェア市場における商標秘密保護の重要な先例を設けるものとなる。

2026/07/11 0:59

QuadRF は壁を通してドローンを検知しWiFiも探知可能

## Japanese Translation: QuadRF は、Raspberry Pi 5 と FPGA を中心に構築された高度なフェーズドアレイ無線機であり、ピコ秒単位のタイミングによるリアルタイム信号処理およびビームフォーミングを実現しています。これは、壁を穿つ WiFi ペネトレーションや飛行中のドローン追尾といったアプリケーションを可能にします。動作周波数は 4.9 GHz から 6 GHz の範囲で、RP1 チップの MIPI レーンを通じてデコードされた RF データを 5 Gbps を超える速度でストリーミングし(低遅延 I/Q ストリーミングをサポート)、PCIe コネクタを開放することでストレージまたはネットワーク用途のために Daisy-chain 接続可能です。ユーザーは Pi ホスト WiFiホットスポット経由で http://quadrf/ にアクセスし、VNC ベースの操作方法を使用します;GNU Radio やカスタム AR ビジュアライザーが利用可能です。AR ビジュアライザーは周波数をカラフルな「blobs」としてマップ化し、チャンネルを同定します(例:5.5 GHz チャネル 100)。現在のインターフェースには自動利得制御(AGC)がないほか、テスト中の挙動はある程度不慣れに感じられますが、飛行中の DJI Mini Pro 4 ドローンを成功して追尾しました。開発者は Martin McCormick氏で、以前は SpaceX の Dishy チーム所属でした。このプロジェクトは、政府にのみ以前アクセス可能だった RF 能力を実証することでセキュリティ上のギャップを露呈することを目的としています。ハードウェアは Crowd Supply で 499 ドルという基本キットとして予約販売されています。ケーシングは当初 3D プリント製でしたが、後に射出成形への移行が予定されており、将来的にはモジュールをチェーンして高送出力(最大 1.15 MW EIRP)に到達できるようになる可能性があります。