文章总结: 该文档披露了两个高危漏洞:CVE-2026-43499是Linux内核rtmutex子系统中存在15年的Stack-UAF漏洞,影响所有未打补丁的发行版,可用于容器逃逸和本地提权;CVE-2026-10702是FirefoxJIT编译器的类型混淆漏洞,允许远程代码执行。两者可链式利用实现从浏览器到内核的全链路RCE。建议立即更新系统并限制对恶意页面的访问。 综合评分: 95 文章分类: 漏洞分析,恶意软件,威胁情报,安全工具,漏洞预警
CVE-2026-43499 (GhostLock):Linux 内核 rtmutex 子系统的 Stack-UAF 漏洞(存在 15 年)
Ots安全
2026年7月11日 19:33 广东
在小说阅读器读本章
去阅读
威胁简报
恶意软件
漏洞攻击
核心问题:
在 Linux 2.6.39 引入的 rtmutex PI(Priority Inheritance)算法中,remove_waiter() 函数错误地清空了 current->pi_blocked_on 而不是 waiter 任务的 pi_blocked_on。
当 rt_mutex_start_proxy_lock() 返回 -EDEADLK 进行回滚时,current 是 requeuer 而非 waiter,导致 rt_mutex_waiter(驻留在 waiter 任务内核栈上)被释放后,pi_blocked_on 成为悬垂指针,形成 Stack Use-After-Free。
触发条件:只需 CONFIG_FUTEX_PI=y(默认开启),无需特殊权限或 user namespace。利用三个 futex(f_pi_chain、f_pi_target、f_wait)和三个线程构造 PI 依赖死锁循环即可触发。
利用过程(简要步骤):
- ASLR Leak:使用 prefetch timing 泄露 kernel image slide 和 physmap base(即使有 KPTI 也可通过 EntryBleed 绕过)。
- Stack Reclaim:利用 prctl(PR_SET_MM_MAP) 将用户控制的 auxv 复制到 waiter 栈上,重叠已释放的 rt_mutex_waiter 帧,通过 fallocate(PUNCH_HOLE) 延长 copy_from_user 窗口,伪造 rt_mutex_waiter 结构(tree、task、lock、wake_state 等)。
- Constrained Pointer Write:构造 fake waiter 触发 rb-tree erase,实现一次受限指针写(可将指针写到目标如 inet6_protos[IPPROTO_UDP])。
- Control Flow Hijack:将 inet6_protos[IPPROTO_UDP] 覆写指向 CEA(CPU Entry Area)中的 fake inet6_protocol 结构,通过 loopback IPv6 UDP 包触发 handler 执行 ROP/JOP。
- DirtyMode & LPE:短 ROP 链修改 core_pattern sysctl 权限位,使其 world-writable,崩溃 helper 进程以 root 执行用户代码,实现本地提权(稳定率约 97%)。
该漏洞影响所有未打补丁的 Linux 发行版(直到 Linux 7.1 修复),可用于容器逃逸。NebuSec 在 2026 年 4 月报告,6 月底获得 Google kernelCTF 奖励。
CVE-2026-10702:Firefox JIT(SpiderMonkey / IonMonkey)误编译漏洞
核心问题:
Firefox JavaScript 引擎 JIT 编译器中的指令建模缺陷,导致类型混淆(Type Confusion),允许在浏览器沙箱内实现远程代码执行(RCE)。属于高危漏洞,已在 Firefox 151.0.3 中修复。
利用过程:
NebuSec 提供了原创 SpiderMonkey exploit,集成到 IonStack 项目中。通过精心构造的 JavaScript,在浏览器 JIT 编译阶段诱导误编译,绕过沙箱实现代码执行。然后链式结合 GhostLock 内核漏洞,实现 浏览器 → 内核 全链路 RCE(Android 17 上首例)。
整体 IonStack 链式利用意义:
- 从浏览器网页(无需用户交互或仅需访问恶意页面)到 Android 内核 root。
- 利用 GitHub 仓库(CyberMeowfia/IonStack)中的 PoC,包括 CVE-2026-10702 和 CVE-2026-43499 的 exploit 目录(支持 Pixel 10 系列等)。
- 体现了浏览器沙箱 + 古老内核 bug 的组合威力,强调了 defense-in-depth 的重要性。
注意:这些是公开的研究 PoC,仅限授权测试环境使用,实际运行可能导致系统不稳定或损坏。请参考 NebuSec 官方博客和 GitHub README 获取最新细节。
- https://github.com/NebuSec/CyberMeowfia/tree/main/IonStack
END
公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址
排版 编辑 | Ots 小安
采集 翻译 | Ots Ai牛马
公众号 | AnQuan7 (Ots安全)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:Ots安全 《CVE-2026-43499 (GhostLock):Linux 内核 rtmutex 子系统的 Stack-UAF 漏洞(存在 15 年)》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。







评论