CVE-2026-10667 in zephyrinformação

Sumário

de VulDB • 13/07/2026

O rastreamento dinâmico de objetos do kernel no Zephyr (kernel/userspace/userspace.c, anteriormente kernel/userspace.c) mantém uma lista duplamente encadeada (obj_list) de objetos do kernel alocados dinamicamente. A iteração sobre essa lista em k_object_wordlist_foreach() era realizada sob lists_lock usando um iterador SAFE (que armazena em cache o próximo nó), mas a remoção da lista e a liberação dos nós eram realizadas sob spinlocks diferentes e disjuntos: objfree_lock em k_object_free() e obj_lock em unref_check(). Em sistemas SMP, enquanto uma CPU itera sobre obj_list sob lists_lock, outra CPU pode desvincular e executar k_free() no nó dyn_obj que o iterador havia armazenado em cache como seu ponteiro next, fazendo com que o iterador dereference memória do kernel já liberada (use-after-free / travessia de lista dangling). Todas as operações concorrentes são acessíveis a partir de threads privilegiadas pelo usuário via chamadas de sistema: k_object_alloc/k_object_alloc_size e k_object_release acionam remoções através de unref_check() (sob obj_lock), enquanto k_thread_abort e criação de thread acionam a iteração através de k_thread_perms_all_clear()/k_thread_perms_inherit() (sob lists_lock). Uma thread de usuário desprivilegiada em uma compilação com CONFIG_SMP + CONFIG_USERSPACE pode, portanto, corromper as estruturas de rastreamento de objetos do kernel além da fronteira de segurança userspace, resultando em corrupção de memória do kernel (potencial elevação de privilégio) ou falha no kernel (negação de serviço). A correção remove objfree_lock e serializa todas as modificações em obj_list sob lists_lock, incluindo mantê-la durante find+remove em k_object_free() e ao redor de unref_check() em k_thread_perms_clear(). Afeta configurações CONFIG_SMP+CONFIG_USERSPACE+CONFIG_DYNAMIC_OBJECTS; o defeito remonta à spinlockification de 2019 (commit 8a3d57b6cc6, lançado pela primeira vez na v1.14.0) e foi distribuído até a v4.4.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

Zephyr

Reservar

02/06/2026

Divulgação

12/07/2026

Moderação

aceite

Entrada

VDB-377879

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!