В ядре Linux на этой неделе устранены две критические уязвимости, обнаруженные в рамках программы bug‑баунти kernelCTF, учреждённой Google для усиления безопасности гипервизора KVM. Обе проблемы позволяли недоверенным пользователям повышать привилегии до root: первая – через выход из гостевой виртуальной машины на хост-систему, а вторая – через локальную эскалацию в пределах одной системы.
Источник изображения: Getty Images
Уязвимость Januscape (CVE‑2026‑53359) затрагивает KVM на процессорах Intel и AMD и связана с ошибкой использования памяти после освобождения в эмуляции теневого блока управления памятью, который преобразует физические адреса между гостевой системой и хостом. Проблема присутствовала в коде с версии 2.6.36 (2010 год) и оставалась незамеченной 16 лет. Для атаки достаточно действий внутри гостевой системы – злоумышленник, арендовавший экземпляр в публичном облаке, может вызвать панику ядра хоста, остановив все виртуальные машины других пользователей на том же физическом сервере, либо выполнить код с правами root для полного захвата контроля.
Исследователь Hyunwoo Kim опубликовал proof‑of‑concept‑эксплойт, вызывающий крах хост‑ОС, но полноценный эксплойт для выхода за пределы гостевой среды обнародован не будет. Уязвимость не связана с QEMU, поэтому атаки возможны даже в облачных средах с собственными стеками виртуализации. Для эксплуатации требуется, чтобы пользователь гостевой системы обладал правами root. За сообщение было выплачено $250 тыс.
Вторая проблема, GhostLock (CVE‑2026‑43499), присутствовала в ядре 15 лет и была обнаружена исследователями из Nebula Security с помощью сканера уязвимостей Vega на основе искусственного интеллекта. Ошибка связана с механизмом наследования приоритетов фьютексов – системой, предотвращающей блокировку критических задач второстепенными. В редком сценарии, когда операция блокировки заходит в тупик и выполняет откат, этап очистки срабатывает в неподходящий момент и удаляет запись другой задачи, оставляя ядро с указателем на уже освобождённую память.
Исследователи выстроили цепочку действий, превратившую «висячий» указатель в выполнение кода с правами root. Для обхода механизма рандомизации адресов (KASLR) использовался временной анализ на основе инструкции prefetch, а для финальной стадии – техника DirtyMode, изменяющая настройки sysctl из пользовательского пространства. Успешность эксплойта в протестированных средах достигает 97%. Степень серьёзности – 7,8 из 10 по шкале CVSS. За обнаружение выплачено $92,3 тыс.
Для обеих уязвимостей уже выпущены патчи.

