Linux çekirdeğinde yeni keşfedilen 'Bad Epoll' (CVE-2026-46242) güvenlik açığı, sıradan bir kullanıcının hiçbir özel yetkiye sahip olmadan sistemi tamamen ele geçirmesine olanak tanıyor. Bu kritik hata, Linux masaüstü bilgisayarları, sunucuları ve Android cihazları etkiliyor. Güvenlik araştırmacısı Jaeyoung Chung tarafından bulunan açık için yama yayınlandı. İlginçtir ki, Anthropic'in en güçlü yapay zeka modeli Mythos, aynı kod bölgesinde daha önce başka bir hata bulmuş ancak Bad Epoll'u kaçırmıştı.
Bad Epoll, Linux'un epoll özelliğindeki bir 'use-after-free' (kullandıktan sonra serbest bırakma) hatasından kaynaklanıyor. Epoll, programların aynı anda birçok dosya veya ağ bağlantısını izlemesini sağlayan standart bir özellik ve kapatılamıyor. İki çekirdek bileşeni aynı anda aynı bellek nesnesini temizlemeye çalıştığında, biri belleği serbest bırakırken diğeri hala üzerine yazıyor. Bu kısa çakışma, saldırganın çekirdek belleğini bozmasına ve normal bir kullanıcı hesabından root yetkisine yükselmesine olanak tanıyor. Ancak bu hatanın tetiklenmesi hassas bir zamanlama gerektiriyor: iki yolun çakıştığı pencere sadece altı makine komutu genişliğinde. Chung, bu pencereyi genişleten ve test sistemlerinde %99 başarı oranıyla root erişimi sağlayan bir sömürü geliştirdi.
Açığı daha tehlikeli kılan iki özellik var: Chrome'un renderer sanal alanı içinden tetiklenebilmesi (ki bu, çoğu çekirdek hatasını engeller) ve Android'i etkilemesi. Chung, açığı Google'ın kernelCTF programına sıfırıncı gün olarak bildirdi ve teknik detayları kamuya açık bir yazıda paylaştı. Şu anda gerçek saldırılarda kullanıldığına dair bir kanıt yok ve sadece kernelCTF konsept kanıtı mevcut. Android için sömürü geliştirme çalışmaları devam ediyor. Her iki hata da 2023'te epoll koduna yapılan bir değişikliğe dayanıyor. Mythos, ilk hatayı (CVE-2026-43074) bulmuş ve 2026 başında yaması yayınlanmıştı.
Bad Epoll, Bad Binder, Bad IO_uring ve Bad Spin gibi Android'de root yetkisi yükseltmek için kullanılan tanınmış çekirdek hataları ailesine katılıyor. Ayrıca, son dönemde keşfedilen Copy Fail, Dirty Frag, Fragnesia, DirtyClone ve pedit COW gibi diğer Linux ayrıcalık yükseltme açıklarının arasına giriyor. Ancak Bad Epoll, Dirty Cow (2016) gibi kazanılması gereken bir yarış koşuluna dayanırken, diğerleri daha güvenilir şekilde çalışan deterministik hatalar. Epoll kapatılamadığı için geçici çözüm yok; yamayı uygulamak veya dağıtımınızın geri portunu beklemek gerekiyor. 6.4 ve üzeri çekirdekler etkilenirken, Pixel 8 gibi bazı Android telefonlar 6.1 tabanlı olduğu için risk altında değil.