Açık kaynak işletim sistemi Linux'ta bu hafta ortaya çıkan iki yüksek önem dereceli güvenlik açığından biri, güvenilmeyen sanal makinelerin ana makine üzerinde root erişimi elde etmesine olanak tanıyor.
Söz konusu güvenlik açığı, birçok Linux dağıtımının çekirdeğinde yer alan bir sanal makine uygulaması olan KVM'de bulunuyor. CVE-2026-53359 olarak takip edilen bu zafiyet, bulut platformlarında kullanıcıların ortamlarını ana işletim sisteminden ve diğer kullanıcı örneklerinden izole etmek için kullanılan misafir sanal makinelerinin (guest VM) bu kapsülün dışına çıkmasına izin veriyor.
Januscape: Bulut Platformları İçin Ciddi Bir Tehdit
Bu güvenlik açığı, hem AMD hem de Intel işlemcilerde çalışan KVM'yi etkiliyor. Saldırganlar, sanal makinenin yalnızca işletim sistemi veya sürücü gibi misafir VM'de bulunan kaynaklardan oluşan kısmındaki (guest-side) hataları sömürüyor. Ana makinede bulunan kaynakları değil. Bu tehlike, 16 yıldır Linux çekirdeğinde fark edilmeden kalmış.
Bulguyu keşfeden araştırmacı Hyunwoo Kim, keşif raporunda "Yalnızca misafir tarafındaki eylemlerle bir saldırgan, kendi VM'sini çalıştıran ana makineyi tehlikeye atabilir" ifadesini kullandı. "Örneğin, halka açık bir bulut üzerinde tek bir örnek kiralamış bir saldırgan, aynı fiziksel makinedeki diğer tüm kiracı VM'lerini devre dışı bırakabilir (DoS) veya ana makine üzerinde root ayrıcalığıyla kod çalıştırarak ana makineyi ve üzerindeki tüm misafirleri ele geçirebilir (RCE)."
Kim, güvenlik açığına Januscape adını verdi. Bu açık, bellek bozulması türlerinden biri olan ve yeni serbest bırakılan bellek bölgelerine zararlı kod enjekte eden 'use-after-free' (kullandıktan sonra serbest bırakma) türünde bir zafiyet. Güvenlik açığı, ana makine bellek adreslerini hipervizör bellek adreslerine ve tersi şekilde çeviren 'shadow MMU emulation' (gölge MMU emülasyonu) işleminde yer alıyor.
Saldırılar, ana makinenin adres çevirisine yardımcı olan bir veri yapısı olan ana makine çekirdeğinin 'shadow page'ini (gölge sayfası) bozmak için yalnızca misafir tarafındaki eylemleri tetikleyecek. Kim, misafir VM'de çalışarak ana makine işletim sistemini çökertebilen bir konsept kanıtı (proof-of-concept) yayınladı. Misafirden tam kaçış sağlayan bir exploit'in de var olduğunu ancak "çok uzak bir gelecekte" yayınlanacağını belirtti.
Bu güvenlik açığı, bellek çevirisiyle ilgili ayrı bir işlem olan QEMU'da meydana gelmiyor. Bu ayrım, kendi sanallaştırma yığınlarını uygulayan ve kullanan bulut ortamlarında bile saldırıların çalışabilmesini sağlıyor. Saldırıların başarılı olabilmesi için misafir VM kullanıcısının root ayrıcalıklarına sahip olması gerekiyor.
Google, bu güvenlik açığının bildirilmesi üzerine 250.000 ABD Doları ödül verdi.
GhostLock Ortaya Çıkıyor
Linux'ta yer alan ayrı bir güvenlik açığı ise sınırlı haklara sahip kullanıcıların root ayrıcalıklarını yükseltmesine olanak tanıyor. CVE-2026-43499 olarak takip edilen bu açık, 15 yıldır işletim sisteminde gizleniyordu. Nebula Security'den araştırmacılar, Nebula'nın yapay zeka destekli güvenlik açığı tarayıcısı Vega'yı kullanarak bu açığı keşfettiklerini bildirdi. RedEye Security'nin kurucusu ve araştırmacısı Matt Lucas, bu açığı şöyle açıkladı:
Nebula'nın GhostLock olarak adlandırdığı güvenlik açığının ciddiyet derecesi 10 üzerinden 7.8 olarak belirlendi. Google, araştırmacılara 92.337 ABD Doları ödül verdi. Januscape için ödenen 250.000 dolarlık ödül gibi, bu ödül de Google'ın kernelCTF hata ödül programı aracılığıyla verildi.
Her iki güvenlik açığı için de Linux çekirdeğinde yamalar yayınlandı. Linux kullanıcılarının, kendi dağıtımlarına özel sürümlerine bu düzeltmelerin ulaşıp ulaşmadığını kontrol etmeleri önem taşıyor.