AI、15年間誰も気づかなかったLinuxのroot脆弱性を発見

Judul asli: AI Found a Root Bug in Linux That Everyone Missed for 15 Years

Mengapa Ini Penting

AIによる脆弱性発見が加速し、長年見逃されてきたOSの重大リスクが次々と露呈している。

Nebula SecurityのAIツール「VEGA」が、15年間見逃されていたLinuxカーネルの深刻な脆弱性「GhostLock(CVE-2026-43499)」を発見。ログイン済みユーザーがroot権限を取得可能。

Nebula SecurityはLinuxカーネルに存在するuse-after-free脆弱性「GhostLock(CVE-2026-43499)」のエクスプロイトコードを公開した。この脆弱性は2011年から実質的にすべての主要Linuxディストリビューションに存在しており、15年間誰にも発見されなかった。

脆弱性を悪用すると、ログイン済みの一般ユーザーが特別な権限やネットワークアクセスなしにroot権限を取得でき、コンテナからの脱出も可能。Nebulaのエクスプロイトはテストで97%の成功率を記録し、GoogleのkernelCTFプログラムを通じて9万2,337ドルの報奨金を獲得した。

修正パッチは2026年4月にリリースされたが、適用状況は均一ではなく、7月初旬時点でもUbuntu 24.04、22.04、20.04 LTSが脆弱または対応中のままとなっており、管理者は適用状況の確認が推奨されている。

Nebula社はAI駆動の脆弱性探索ツール「VEGA」を使って本脆弱性を発見。2026年に入り、自動化ツールが長期間再精査されていなかった古いカーネルコードを解析し、Linux権限昇格脆弱性を相次いで発見する事例が増えている。

Sumber

wired.com — Baca artikel asli →