Co robi Bad Epoll i kto jest narażony

Bad Epoll to wyścig use-after-free w epoll, standardowej funkcji Linuksa, która pozwala programowi obserwować wiele plików i połączeń naraz. Gdy dwie listy eventpoll obserwują się nawzajem i są zamykane w tej samej chwili, jedna zwalnia wewnętrzny obiekt, podczas gdy druga wciąż do niego pisze, a to krótkie zderzenie pozwala nieuprzywilejowanemu procesowi uszkodzić pamięć jądra i wspiąć się do roota. Publiczny exploit wycieka pamięć jądra, przejmuje wywołanie pośrednie i buduje łańcuch zorientowany na powrót aż do powłoki roota.

Ekspozycja jest szeroka. Każdy system Linux na jądrze opartym na wersji 6.4 lub nowszej jest narażony, dopóki nie zostanie załatany, co obejmuje komputery stacjonarne, serwery i telefony z Androidem, takie jak Pixel 10 na jądrze 6.6. Jądra ze starszej linii 6.1 nie są narażone, bo błąd wprowadzono w zmianie z 2023 roku, która trafiła do 6.4. Nie zgłoszono jeszcze wykorzystania w praktyce, ale z działającym kodem na GitHubie okno między publikacją a nadużyciem jest krótkie, a epoll jest używany wszędzie, więc nie da się go po prostu wyłączyć.

Błąd, którego audyt AI nie wychwycił

Ostrzejsza lekcja tkwi w tym, jak błąd znaleziono. Zarówno Bad Epoll, jak i jego bliźniak, CVE-2026-43074, sięgają tej samej jednej zmiany z 2023 roku w kodzie epoll. Zautomatyzowany audyt kodu wychwycił pierwszy z pary na początku 2026 roku, i jego poprawka trafiła do jądra. Nie wychwycił Bad Epoll. Tego znaleziono po staremu, przez człowieka: Jaeyoung Chung z Uniwersytetu Narodowego w Seulu zgłosił go do kernelCTF Google'a jako zgłoszenie zero-day 6 lipca 2026 roku, z exploitem na tyle niezawodnym, że opisano go jako niemal pewny.

Przeczytaj to uważnie, zanim uznasz, że AI zamknęła polowanie na błędy jądra. Maszynowy przegląd jest naprawdę użyteczny i usunął z drzewa żywy błąd roota. Ale jeden ryzykowny commit dał dwie możliwe do wykorzystania luki, automatyczny przebieg wziął jedną i zostawił drugą, a ta zostawiona była tą, która daje roota. Przegląd AI podnosi poziom bazowy; nie czyni łatania krokiem opcjonalnym i nie oznacza, że pobłogosławiony przez niego commit jest czysty.

Co załatać w tym tygodniu

Poprawka jest w jądrze mainline od 24 kwietnia, jako commit upstream a6dc643c6931, ale to nie to samo co poprawka docierająca do twoich maszyn. Wiele dystrybucji jeszcze jej nie przeniosło wstecz, więc prawdziwe ryzyko żyje w luce między naprawiono-w-mainline a załatano-we-flocie. Zastosuj najnowszą aktualizację jądra swojej dystrybucji, gdy tylko się pojawi, a na Pixelu 10 i innych urządzeniach na jądrze 6.6 aktualizację bezpieczeństwa Google'a, gdy będzie dostępna.

Priorytetyzuj według tego, kto może się zalogować. Niebezpieczeństwo błędu z lokalnego do roota jest największe tam, gdzie niezaufani lub liczni użytkownicy dzielą hosta: hosting współdzielony, wykonawcy ciągłej integracji, kontenery wielodostępne i maszyny deweloperskie, gdzie jedno przejęte konto nie powinno stać się całą maszyną. Sprawdź wersję jądra, traktuj wszystko na 6.4 lub nowszym jako narażone do czasu załatania, i użyj tego jako bodźca do przejrzenia innych poprawek zrodzonych z tej samej zmiany epoll z 2023 roku.