Linux 内核新漏洞“Bad Epoll”允许非特权用户获取 root 权限,Android 系统也受到影响
新近披露的Linux内核漏洞Bad Epoll (CVE-2026-46242)允许普通用户在没有特殊权限的情况下以root身份完全控制机器。该漏洞影响Linux桌面、服务器和Android系统,目前已有修复程序发布。
新近披露的Linux内核漏洞Bad Epoll (CVE-2026-46242)允许普通用户在没有特殊权限的情况下以root身份完全控制机器。该漏洞影响Linux桌面、服务器和Android系统,目前已有修复程序发布。
Bad Epoll位于内核代码的同一小段区域内,而 Anthropic 最强大的 AI 模型Mythos最近在该区域发现了另一个错误。
人工智能发现了一个漏洞,却漏掉了这个。研究员郑在英(Jaeyoung Chung)发现了这个漏洞,并构建了一个有效的攻击方案。
该漏洞的工作原理
Epoll 是 Linux 的一项标准功能,它允许程序同时监视多个文件或网络连接。服务器、网络服务和网页浏览器都依赖于它。你无法简单地将其关闭。
Bad Epoll 是一个“释放后使用”漏洞。内核的两个部分同时尝试清理同一个内部对象。其中一个部分释放了内存,而另一个部分仍在写入该内存。这种短暂的冲突使得攻击者能够破坏内核内存,然后从普通账户一路攀升至 root 权限。
关键在于时机。两条路径相交的窗口只有大约六条机器指令宽,因此随机尝试几乎不可能命中。Chung 的漏洞利用程序扩大了这个窗口,并在不崩溃的情况下重试,在测试系统中,其获取 root 权限的概率高达 99%。
有两个因素使它更加危险:据他所说,它可以从 Chrome 的渲染器沙箱内部触发,而 Chrome 的渲染器沙箱几乎可以阻止所有其他内核漏洞;而且它可以到达 Android,而大多数 Linux 特权漏洞都无法到达 Android。
Chung 已将此漏洞作为零日漏洞提交至 Google 的 kernelCTF 项目,完整的技术细节已在其 公开文档中列出。目前尚无迹象表明该漏洞已被用于实际攻击:截至本文撰写之时,该漏洞尚未出现在 CISA 的已知已利用漏洞列表中,唯一可用的代码是 kernelCTF 的概念验证代码。该漏洞的 Android 版本仍在开发中。
这两个漏洞都源于 2023 年对 epoll 代码的一次修改。Chung 表示,Mythos 发现了第一个漏洞,目前编号为 CVE-2026-43074,该漏洞的修复程序已于 2026 年初发布。
Anthropic公司曾单独表示,Mythos 发现了Linux内核的提权漏洞,但并未公开将这项工作与Bad Epoll联系起来。发现第一个此类漏洞是一项真正的成果,因为竞态条件漏洞历来难以发现。
那么,为什么同样的人工智能会忽略兄弟姐妹间的缺陷呢?钟提出了两种可能的原因,但他谨慎地表示,没有人能够确定。
首先,时间窗口非常小,所以即使盯着代码也很难想象事件的确切顺序。
其次,运行时几乎没有证据。
一旦第一个错误被修复,Bad Epoll 的内存错误通常不会触发内核的主要错误检测器 KASAN,因此不会发出任何错误信号。
Epoll 无法关闭,因此没有其他解决方法。请应用上游提交 a6dc643c6931,或者在提交合并后安装发行版的反向移植版本。除非内核版本 6.4 或更高版本已经包含此修复程序,否则它们都会受到影响。
较旧的基于 6.1 内核的版本,包括一些 Android 手机(例如 Pixel 8),则不受此影响,因为该漏洞是在 6.4 版本中出现的。
Linux 内核的糟糕一年
Bad Epoll 加入了一个众所周知的内核漏洞家族,该家族曾被用于 root Android,此前还有Bad Binder、Bad IO_uring和 Bad Spin 等漏洞。
此次漏洞出现的时间也正值Linux权限漏洞频发的时期,尽管最近大多数漏洞的运作方式有所不同。Copy Fail (CVE-2026-31431) 于4月被发现,目前已被列入CISA的 已知已利用漏洞列表。Dirty Frag链、Fragnesia、DirtyClone和pedit COW等漏洞随后相继出现。
两者都是确定性的页面缓存写入漏洞,类似于Dirty Pipe (2022),没有竞争条件,因此运行起来更加可靠。Bad Epoll 则属于更古老、更难的类型:必须赢得竞争,类似于Dirty Cow (2016)。
CVE-2026-31694也已公开展示了其概念验证 ,这是由人工智能驱动的研究公司 Bynario 发现的内核 FUSE 文件系统代码中的一个独立漏洞。拥有 FUSE 访问权限的本地用户可以向内核提供恶意文件系统并破坏内存。
根据具体配置,这可能意味着root权限泄露、数据泄露或系统崩溃。由于这种访问权限在容器和用户命名空间中很常见,因此它更多地被视为服务器和容器风险,而非手机风险。
Bynario 并非唯一发现并利用漏洞的人。Mythos 还发现并利用了 FreeBSD NFS 服务器中一个存在了 17 年的远程代码执行漏洞(CVE-2026-4747),而 Anthropic 的研究人员也 利用其模型发现了其他内核缺陷。
Bad Epoll 是一个有用的反例。它表明,竞态条件在各个阶段都难以发现:即使对于顶尖的人工智能来说,也很难找到;修复起来也很困难,因为第一个补丁并不完善,而一个正确的补丁花了大约两个月的时间;而且利用起来也很困难,因为漏洞的窗口只有六条指令宽。目前,人工智能忽略的漏洞仍然是人类需要去发现的。



评论1次
这漏洞有意思,典型的内核UAF竞争条件。窗口只有6条指令宽确实难搞,但人家 Chung 大佬把窗口扩大后成功率能到99%,这就不是纯靠运气的事了。
几个关键点值得注意:
攻击价值确实高——能从 Chrome 渲染器沙箱里触发这点很关键。沙箱本来是把锁,现在这漏洞相当于沙箱里开了个暗门,意味着攻击链可以更完整:不依赖沙箱逃逸,直接从渲染进程打到 root。
利用门槛没想象的那么夸张——虽然竞争窗口小,但 kernelCTF 的 PoC 已经公开了,说明技术路径是可行的。99%成功率对于真实环境利用来说已经相当稳了,不像某些竞争漏洞成功率1%不到基本没法用。
防御侧短期没太多选择——epoll 关不了,这个没法绕。Android 设备这块,基于 6.1 内核的老机器反而安全,6.4+ 的跑不掉。服务器环境如果内核版本在范围内,要么等发行版推送补丁,要么自己 cherry-pick a6dc643c6931 这个提交。
关于 AI 发现漏洞这事——Mythos 能挖到一个但漏掉相邻的,这很合理。竞态条件本身就难发现,运行时没 KASAN 信号更麻烦。这波 Human Bounty 还稳得住。