AI-verktyg hittade root-bugg som legat dold i Linux-kärnan i 15 år

Färgkodad programkod på en mörk datorskärm
Foto: Chris Ried via Unsplash

Ett AI-drivet analysverktyg har hittat en allvarlig sårbarhet i Linux-kärnan som legat oupptäckt i omkring 15 år. Buggen, som fått namnet GhostLock och beteckningen CVE-2026-43499, gör att vilken inloggad användare som helst kan ta full kontroll (root) över en opatchad dator, utan särskilda rättigheter eller nätverksåtkomst.

Sårbarheten upptäcktes av säkerhetsföretaget Nebula Security med hjälp av bolagets AI-verktyg VEGA, enligt Wired. Enligt TechTimes infördes felet i kärnversion 2.6.39 år 2011 och har därmed följt med i praktiskt taget alla större Linux-distributioner sedan dess. Företaget tilldelades 92 337 dollar genom Googles program kernelCTF.

Så fungerar buggen

Felet ligger i kärnans hantering av prioriteringsarv (priority inheritance), en mekanism i realtidsmutexer som tillfälligt höjer en lågprioriterad tråds prioritet så att den inte blockerar en viktigare tråd. Mekanismen ska förhindra så kallad prioritetsinversion, där en process med hög prioritet tvingas vänta på en med låg.

Den sårbara koden finns enligt TechTimes i städfunktionen remove_waiter, som ursprungligen skrevs för fall där en tråd blockerar för egen räkning. Funktionen återanvändes senare på en annan kodväg, där en tredje tråd anropar systemanropet FUTEX_CMP_REQUEUE_PI för en annan tråds räkning. På den vägen nollställde funktionen fel tråds interna tillstånd och lämnade kvar en pekare till minne på kärnans stack som redan hade frigjorts, ett klassiskt use-after-free-fel.

Root på några sekunder

Med den kvarlämnade pekaren kunde en angripare placera en förfalskad datastruktur i det frigjorda minnet och stegvis skriva över kritiska delar av kärnan tills den fick högsta behörighet. Nebula Securitys demonstrationskod tog enligt TechTimes root på ungefär fem sekunder och lyckades i 97 procent av försöken på vanliga konfigurationer.

Exploateringen fungerade även inifrån en container och krävde inga särskilda container-rättigheter, vilket enligt Wired innebär att den kunde ta sig ut till värdsystemet och därmed nå andra arbetslaster på samma maskin. Enda förutsättningen var ett lokalt användarkonto och en kärna med standardinställningen för prioriteringsarv aktiverad.

Ojämnt patchläge

Buggen rättades i själva kärnan i april 2026, men utrullningen till distributionerna har gått i olika takt. Enligt Wired listade Ubuntu i början av juli fortfarande sina versioner 24.04, 22.04 och 20.04 LTS som sårbara eller under åtgärd. Användare uppmanas att installera den senaste kärnuppdateringen från sin distribution och att kontrollera aktuell status hos leverantören.

Gammal kod, nya granskningsmetoder

Det som gjort fallet uppmärksammat är inte bara sårbarheten i sig, utan att den hittades av ett AI-verktyg i kod som legat i stort sett orörd i många år. Delar av prioriteringsarvskoden går enligt TechTimes tillbaka till 2006 och hade inte granskats systematiskt med automatiserade metoder. Koden hade alltså funnits mitt framför ögonen på tusentals utvecklare utan att någon lagt märke till felet.

GhostLock visar hur mogen och sedan länge betrodd kärnkod nu kan analyseras med AI-baserade verktyg som prövar kombinationer av kodvägar som mänskliga granskare lätt förbiser. För underhållet av äldre kodbaser innebär det både en möjlighet, att fel som legat dolda i årtionden går att hitta, och en påminnelse: gammal kod är inte säker bara för att den har använts länge.

Senast faktagranskad: 17 juli 2026