Co się zepsuło, w prostych słowach

3 lipca 2026 roku badacz Jaeyoung Chung opublikował Bad Epoll, śledzony jako CVE-2026-46242. To wyścig typu use-after-free w podsystemie epoll jądra Linuksa, standardowej maszynerii, której program używa do jednoczesnego obserwowania wielu plików i połączeń sieciowych. Serwery, usługi sieciowe i przeglądarki internetowe wszystkie się na nim opierają, dlatego nie można go po prostu wyłączyć.

Praktyczny skutek jest dosadny. Napastnik, który ma już jakikolwiek przyczółek o niskich uprawnieniach na maszynie, powłokę z przejętej aplikacji webowej, nieuczciwą aplikację mobilną, konto podwykonawcy, może wspiąć się do pełnego roota. Dowód koncepcji Chunga, zgłoszony do programu kernelCTF Google, poszerza okno czasowe, które normalnie ma szerokość zaledwie około sześciu instrukcji maszynowych, i osiąga roota mniej więcej w 99 procentach przypadków. Jądro 6.4 i nowsze są dotknięte, chyba że już załatane; starsze kompilacje oparte na 6.1 nie są.

Dlaczego tylko lokalnie nie znaczy niskie ryzyko

Kusi, by lokalną eskalację uprawnień odłożyć do szuflady na później. Ten odruch jest błędny dla operatora floty. Nowoczesne włamania są dwuetapowe. Pierwszy etap, ujawnione poświadczenie, przejęta sesja, podatny frontend webowy, wprowadza napastnika na maszynę jako ograniczonego użytkownika. Bad Epoll to drugi etap, który zamienia tego ograniczonego użytkownika w roota, wyłącza rejestrowanie i przekształca opanowany incydent w obejmujący całą domenę.

Wątek Androida zaostrza sprawę. Złośliwa lub przerobiona aplikacja, która pokona niską poprzeczkę instalacji, może teraz sięgnąć po roota na urządzeniach z jądrem 6.4 lub nowszym. Dla każdej organizacji, która pozwala pracownikom czytać firmową pocztę na prywatnych telefonach, zakładana granica między złą aplikacją a waszymi danymi właśnie stała się cieńsza. To opowieść o zarządzaniu łatkami przebrana za błąd jądra.

Martwy punkt audytu AI, który operatorzy właśnie odziedziczyli

Oto szczegół, który powinien dotrzeć do zarządu, nie tylko do zespołu bezpieczeństwa. Ten sam commit jądra z 2023 roku wprowadził dwa sąsiadujące wyścigi w mniej więcej 2500 wierszach kodu epoll. Model Mythos od Anthropic wychwycił pierwszy, śledzony teraz jako CVE-2026-43074. Przeoczył drugi, ten, który stał się Bad Epoll. Wyścigi są notorycznie trudne do wypatrzenia, a przegląd maszynowy, podobnie jak ludzki, nie wypatruje ich równomiernie.

Lekcja nie brzmi, że przegląd kodu przez AI zawiódł. Brzmi ona, że czysty przebieg AI nie jest świadectwem zwolnienia. Jeśli wasi liderzy inżynierii zaczęli powoływać się na zautomatyzowane audyty jako dowód, że kod jest bezpieczny, to jest studium przypadku, które mówi: pozytywny wynik zwęża ryzyko, nie zamyka go. Traktujcie przegląd AI jako jedną warstwę, finansujcie fuzzing i ludzkich specjalistów obok niego i nigdy nie pozwólcie, by zielony raport maszyny stał się powodem pominięcia kontroli.

Co zrobić w tym tygodniu

Zastosujcie poprawkę z upstreamu, commit jądra a6dc643c6931, lub backport waszej dystrybucji, priorytetowo traktując hosty wystawione do internetu i wielodzierżawcze, gdzie niezaufany kod lokalny najprawdopodobniej się uruchomi. Dla zarządzanych flot Androida roześlijcie aktualizacje bezpieczeństwa producenta i potwierdźcie, które urządzenia działają na jądrze 6.4 lub nowszym. Epoll nie da się wyłączyć, więc nie ma skrótu konfiguracyjnego; łatka jest środkiem zaradczym.

Następnie wykorzystajcie ten moment jako test ładu korporacyjnego. Zadajcie jedno pytanie na kolejnym przeglądzie operacji: jeśli dzisiaj konto o niskich uprawnieniach zostanie przejęte, co powstrzyma je przed staniem się rootem do piątku? Jeśli szczera odpowiedź zależy od łatki, której jeszcze nie zaplanowaliście, znaleźliście lukę, do wykorzystania której ten błąd został stworzony.