Исследователь показал почти безотказный эксплойт для популярной подсистемы ядра.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
В ядре Linux нашли уязвимость, которая превращает обычного пользователя в root и может задеть не только серверы и рабочие станции, но и Android-устройства. Проблема получила название Bad Epoll и номер CVE-2026-46242. Исследователь Джейён Чон нашел ошибку в подсистеме epoll, собрал рабочий эксплойт и отправил уязвимость в программу Google kernelCTF как zero-day.
Epoll помогает программам следить сразу за множеством файлов, сокетов и сетевых соединений. Такой механизм используют серверы, сетевые службы, браузеры и другие базовые компоненты Linux-систем. Отключить epoll без поломки важных функций нельзя, поэтому простого обходного пути у администраторов нет. Единственный надежный вариант защиты сводится к установке исправления ядра или бэкпорта от дистрибутива.
Bad Epoll относится к классу use-after-free и возникает из-за гонки в коде ep_remove. В упрощенном виде две части ядра одновременно чистят один и тот же внутренний объект. Одна часть освобождает память, а другая еще продолжает работать с освобожденной областью. Такое короткое столкновение позволяет атакующему повредить память ядра, получить чтение произвольных участков памяти и затем перехватить управление через цепочку ROP, чтобы открыть root-оболочку.
Особую опасность добавляет надежность атаки. Окно гонки занимает примерно шесть инструкций, поэтому случайное попадание почти невозможно, но эксплойт Чона расширяет нужный момент и повторяет попытки без падения ядра. На тестовых целях kernelCTF исследователь получил около 99% успешных запусков для LTS-ядра и 98% для Google COS. Android-эксплойт пока находится в работе, но сам исследователь указывает, что устройства на ядрах 6.6 и новее могут быть пригодны для дальнейшей атаки, тогда как Pixel 8 и другие устройства на ядре 6.1 не затронуты.
История Bad Epoll выделяется еще одной деталью. Та же область кода уже попадала в поле зрения модели Anthropic Mythos, которая нашла соседнюю гонку с номером CVE-2026-43074. По словам Чона, модель пропустила Bad Epoll, вероятно, из-за слишком узкого временного окна и слабых следов ошибки во время выполнения. После исправления первой уязвимости ошибка Bad Epoll обычно не срабатывала в KASAN, основном детекторе ошибок памяти в ядре Linux, поэтому рантайм не давал яркого сигнала о проблеме.
Уязвимый код попал в ядро 8 апреля 2023 года вместе с коммитом 58c9b016e128, а корректное исправление появилось 24 апреля 2026 года в коммите a6dc643c6931. Под угрозой находятся дистрибутивы и устройства с ядрами на базе Linux 6.4 и новее, если поставщик еще не перенес исправление в свою ветку. Администраторам стоит проверять обновления конкретного дистрибутива, потому что статус пакетов различается даже внутри одной экосистемы. Например, трекер Debian помечает одни ветки как исправленные или незатронутые, а для других указывает сохраняющийся риск.
<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
В ядре Linux нашли уязвимость, которая превращает обычного пользователя в root и может задеть не только серверы и рабочие станции, но и Android-устройства. Проблема получила название Bad Epoll и номер CVE-2026-46242. Исследователь Джейён Чон нашел ошибку в подсистеме epoll, собрал рабочий эксплойт и отправил уязвимость в программу Google kernelCTF как zero-day.
Epoll помогает программам следить сразу за множеством файлов, сокетов и сетевых соединений. Такой механизм используют серверы, сетевые службы, браузеры и другие базовые компоненты Linux-систем. Отключить epoll без поломки важных функций нельзя, поэтому простого обходного пути у администраторов нет. Единственный надежный вариант защиты сводится к установке исправления ядра или бэкпорта от дистрибутива.
Bad Epoll относится к классу use-after-free и возникает из-за гонки в коде ep_remove. В упрощенном виде две части ядра одновременно чистят один и тот же внутренний объект. Одна часть освобождает память, а другая еще продолжает работать с освобожденной областью. Такое короткое столкновение позволяет атакующему повредить память ядра, получить чтение произвольных участков памяти и затем перехватить управление через цепочку ROP, чтобы открыть root-оболочку.
Особую опасность добавляет надежность атаки. Окно гонки занимает примерно шесть инструкций, поэтому случайное попадание почти невозможно, но эксплойт Чона расширяет нужный момент и повторяет попытки без падения ядра. На тестовых целях kernelCTF исследователь получил около 99% успешных запусков для LTS-ядра и 98% для Google COS. Android-эксплойт пока находится в работе, но сам исследователь указывает, что устройства на ядрах 6.6 и новее могут быть пригодны для дальнейшей атаки, тогда как Pixel 8 и другие устройства на ядре 6.1 не затронуты.
История Bad Epoll выделяется еще одной деталью. Та же область кода уже попадала в поле зрения модели Anthropic Mythos, которая нашла соседнюю гонку с номером CVE-2026-43074. По словам Чона, модель пропустила Bad Epoll, вероятно, из-за слишком узкого временного окна и слабых следов ошибки во время выполнения. После исправления первой уязвимости ошибка Bad Epoll обычно не срабатывала в KASAN, основном детекторе ошибок памяти в ядре Linux, поэтому рантайм не давал яркого сигнала о проблеме.
Уязвимый код попал в ядро 8 апреля 2023 года вместе с коммитом 58c9b016e128, а корректное исправление появилось 24 апреля 2026 года в коммите a6dc643c6931. Под угрозой находятся дистрибутивы и устройства с ядрами на базе Linux 6.4 и новее, если поставщик еще не перенес исправление в свою ветку. Администраторам стоит проверять обновления конкретного дистрибутива, потому что статус пакетов различается даже внутри одной экосистемы. Например, трекер Debian помечает одни ветки как исправленные или незатронутые, а для других указывает сохраняющийся риск.
- Источник новости
- www.securitylab.ru