Linux çekirdeğinde keşfedilen yeni bir güvenlik açığı, Bad Epoll (CVE-2026-46242), sıradan kullanıcıların root yetkisi almasına izin veriyor. Bu açık, Linux masaüstü, sunucu ve Android cihazları etkiliyor. Aynı kod bölgesinde daha önce Anthropic'in Mythos yapay zekası tarafından başka bir açık bulunmuştu ancak Bad Epoll'ü tespit edememişti. Araştırmacı Jaeyoung Chung, bu açığı keşfederek çalışan bir istismar kodu geliştirdi.
Bad Epoll, epoll adlı standart bir Linux özelliğinde bulunan bir kullanım-sonrası-serbest bırakma (use-after-free) hatası. Epoll, bir programın birden fazla dosyayı veya ağ bağlantısını aynı anda izlemesine olanak tanır ve sunucular, ağ hizmetleri ve web tarayıcıları tarafından yaygın olarak kullanılır. Bu açık, çekirdeğin aynı iç nesneyi temizlemeye çalışan iki parçasının çakışmasıyla oluşur: biri belleği serbest bırakırken diğeri hâlâ üzerine yazmaktadır. Bu kısa çakışma, saldırganın çekirdek belleğini bozmasına ve normal bir kullanıcı hesabından root yetkisine yükselmesine olanak tanır.
Açığın kullanılması oldukça hassas bir zamanlama gerektiriyor; çünkü iki yolun çakıştığı pencere yalnızca altı makine talimatı genişliğinde. Chung, bu pencereyi genişleten ve sistemi çökertmeden yeniden deneyen bir istismar geliştirdi. Test edilen sistemlerde %99 oranında root yetkisine ulaşmayı başardı. Bu açığın tehlikesini artıran iki faktör var: Chrome'un işleyici korumalı alanından tetiklenebilmesi (çoğu çekirdek açığını engelleyen bir ortam) ve Android cihazları da etkilemesi.
Bad Epoll, Google'ın kernelCTF programına sıfırıncı gün olarak bildirildi ve teknik detaylar kamuya açıklandı. Henüz gerçek saldırılarda kullanıldığına dair bir işaret yok. Çekirdek sürümü 6.4 ve üzeri olan tüm sistemler etkileniyor. Yama olarak a6dc643c6931 kodlu üst seviye değişikliği uygulanmalı. Epoll devre dışı bırakılamadığı için tek çözüm güncelleme. Bu açık, Bad Binder, Bad IO_uring ve Bad Spin gibi Android'i hedef alan ünlü çekirdek açıkları ailesine katılıyor.