Ce que fait Bad Epoll et qui est exposé

Bad Epoll est une course use-after-free dans epoll, la fonction standard de Linux qui permet à un programme de surveiller de nombreux fichiers et connexions à la fois. Quand deux listes eventpoll se surveillent l'une l'autre et sont fermées au même instant, l'une libère un objet interne tandis que l'autre y écrit encore, et cette brève collision permet à un processus sans privilège de corrompre la mémoire du noyau et de monter jusqu'à root. L'exploit public lit la mémoire du noyau, détourne un appel indirect et bâtit une chaîne orientée retour jusqu'à un shell root.

L'exposition est large. Tout système Linux sur un noyau basé sur la version 6.4 ou plus est touché jusqu'au correctif, ce qui couvre les postes de bureau, les serveurs et les mobiles Android comme le Pixel 10 en noyau 6.6. Les noyaux de l'ancienne ligne 6.1 ne sont pas touchés, car la faille a été introduite dans une modification de 2023 arrivée en 6.4. Aucune exploitation réelle n'est encore signalée, mais avec du code fonctionnel sur GitHub, la fenêtre entre publication et abus est courte, et epoll est partout, donc on ne peut pas simplement le désactiver.

La faille qu'un audit IA n'a pas captée

La leçon la plus nette tient à la façon dont la faille a été trouvée. Bad Epoll et sa jumelle, CVE-2026-43074, remontent toutes deux à la même unique modification de 2023 du code d'epoll. Un audit de code automatisé a capté la première de la paire début 2026, et son correctif est arrivé. Il n'a pas capté Bad Epoll. Celle-ci a été trouvée à l'ancienne, par un humain : Jaeyoung Chung, de l'Université nationale de Séoul, l'a signalée au kernelCTF de Google comme soumission zero-day le 6 juillet 2026, avec un exploit assez fiable pour être décrit comme quasi certain.

Lisez cela avec soin avant de conclure que l'IA a clos la chasse aux failles du noyau. La revue automatique est vraiment utile et a retiré de l'arbre une faille root active. Mais un seul commit risqué a produit deux failles exploitables, la passe automatique en a pris une et laissé l'autre, et celle qui restait était celle qui donne root. La revue par IA relève la base ; elle ne rend pas la correction facultative, et un commit qu'elle a béni n'est pas pour autant propre.

Ce qu'il faut corriger cette semaine

Le correctif est dans le noyau mainline depuis le 24 avril, sous le commit amont a6dc643c6931, mais ce n'est pas la même chose que le correctif arrivant sur vos machines. Beaucoup de distributions ne l'ont pas encore rétroporté, donc le vrai risque vit dans l'écart entre corrigé dans le mainline et corrigé sur le parc. Appliquez la dernière mise à jour de noyau de votre distribution dès sa sortie, et sur le Pixel 10 et d'autres appareils en noyau 6.6, la mise à jour de sécurité de Google dès qu'elle est disponible.

Priorisez selon qui peut se connecter. Le danger d'une faille locale vers root est le plus élevé là où des utilisateurs non fiables ou nombreux partagent un hôte : hébergement mutualisé, exécuteurs d'intégration continue, conteneurs multilocataires et postes de développeur où un seul compte compromis ne doit pas devenir toute la machine. Vérifiez votre version de noyau, traitez tout ce qui est en 6.4 ou plus comme exposé jusqu'au correctif, et prenez cela comme incitation à revoir d'autres correctifs issus de la même modification d'epoll de 2023.