Linux çekirdeğinde keşfedilen yeni bir güvenlik açığı, Bad Epoll (CVE-2026-46242), sıradan bir kullanıcının herhangi bir özel yetkiye ihtiyaç duymadan sistemi tamamen ele geçirmesine olanak tanıyor. Açık, Linux masaüstü, sunucu ve Android işletim sistemini etkiliyor. Yama yayınlanmış durumda.
Bad Epoll, Anthropic'in en güçlü yapay zeka modeli Mythos'un kısa süre önce farklı bir hata bulduğu aynı küçük çekirdek kod parçasında yer alıyor. Yapay zeka bir açığı yakalarken diğerini kaçırdı. Araştırmacı Jaeyoung Chung, bu açığı buldu ve çalışan bir istismar geliştirdi.
Epoll, Linux'ta bir programın aynı anda birçok dosyayı veya ağ bağlantısını izlemesini sağlayan standart bir özellik. Sunucular, ağ hizmetleri ve web tarayıcıları bu özelliği yoğun olarak kullanıyor. Kapatmak mümkün değil. Bad Epoll, bir 'use-after-free' (kullanım-sonrası-serbest bırakma) hatası. Çekirdeğin iki farklı bölümü aynı anda aynı dahili nesneyi temizlemeye çalışıyor. Biri belleği serbest bırakırken diğeri hala içine yazıyor. Bu kısa çarpışma, saldırganın çekirdek belleğini bozmasına ve normal bir hesaptan root yetkisine yükselmesine olanak tanıyor.
Açığın tetiklenmesi zamanlamaya bağlı. İki yolun çarpıştığı pencere yalnızca altı makine talimatı genişliğinde, bu nedenle rastgele bir deneme neredeyse hiçbir zaman bu pencereye denk gelmiyor. Chung'ın istismarı bu pencereyi genişletiyor ve sistemi çökertmeden yeniden deneyerek test edilen sistemlerde yaklaşık %99 oranında root erişimi sağlıyor. Açığı daha tehlikeli kılan iki faktör var: Chrome'un renderer sandbox'ından tetiklenebilmesi ve diğer çoğu Linux ayrıcalık açığının ulaşamadığı Android'e erişebilmesi.
Chung, açığı Google'ın kernelCTF programına sıfırıncı gün olarak bildirdi ve teknik detaylar kamuya açık yazısında yer alıyor. Şu ana kadar gerçek saldırılarda kullanıldığına dair bir işaret yok. CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları listesinde bulunmuyor ve çalışan tek kod kernelCTF kanıtı. Android sürümü üzerinde çalışmalar devam ediyor. Her iki hata da 2023'te epoll kodunda yapılan tek bir değişikliğe dayanıyor. Chung, Mythos'un ilkini (CVE-2026-43074) bulduğunu ve yamanın 2026'nın başlarında yayınlandığını söylüyor.
Aynı yapay zeka neden kardeş açığı kaçırdı? Chung iki olası neden sunuyor. Birincisi, zamanlama penceresinin çok küçük olması, olayların tam sırasını kod üzerinde bakarken bile hayal etmeyi zorlaştırıyor. İkincisi, çalışma zamanında çok az kanıt bulunması. İlk hata düzeltildiğinde, Bad Epoll'un bellek hatası genellikle çekirdeğin ana hata dedektörü KASAN'ı tetiklemiyor, bu nedenle bir sorun olduğuna dair hiçbir işaret olmuyor. Epoll kapatılamadığı için geçici bir çözüm bulunmuyor. a6dc643c6931 upstream commit'ini uygulamak veya dağıtımınızın geri portunu yüklemek gerekiyor. 6.4 veya daha yeni çekirdekler, düzeltme uygulanmamışsa etkileniyor. Pixel 8 gibi bazı Android telefonlardaki eski 6.1 tabanlı çekirdekler etkilenmiyor çünkü hata 6.4 ile geldi.
Bad Epoll, Android'i rootlamak için kullanılan iyi bilinen çekirdek hataları ailesine katılıyor: Bad Binder, Bad IO_uring ve Bad Spin. Ayrıca Linux ayrıcalık açıklarının yoğun olduğu bir döneme denk geliyor. Nisan ayında ortaya çıkan Copy Fail (CVE-2026-31431) şimdi CISA listesinde. Dirty Frag, Fragnesia, DirtyClone, pedit COW gibi açıklar da bunu takip etti. Bunlar, Dirty Pipe (2022) gibi deterministik sayfa önbelleği yazma hataları ve kazanılması gereken bir yarış içermiyor, bu da onları çok daha güvenilir kılıyor. Bad Epoll ise Dirty Cow (2016) gibi kazanılması gereken daha eski ve zor bir yarış türü.
Detaylar ve Etkileri
Yapay zeka destekli araştırma firması Bynario tarafından bulunan ayrı bir FUSE dosya sistemi açığı (CVE-2026-31694) için de kamuya açık bir kanıt yayınlandı. FUSE erişimi olan yerel bir kullanıcı, çekirdeğe kötü niyetli bir dosya sistemi besleyerek belleği bozabilir. Bu, root erişimi, veri sızıntısı veya çökmeye yol açabilir. Bu erişim konteynerlerde ve kullanıcı ad alanlarında yaygın olduğu için daha çok sunucu ve konteyner riski oluşturuyor. Bad Epoll, yarış koşullarının her aşamada zor olduğunu gösteriyor: önde gelen bir yapay zeka için bile bulması zor; ilk yama yetersiz kaldığı ve doğru olanı yaklaşık iki ay sürdüğü için düzeltmesi zor; ve yalnızca altı talimat genişliğindeki bir pencereden yararlanması zor. Şimdilik, bir yapay zekanın gözden kaçırdığı hatayı yakalayan yine bir insan oluyor.
Kaynak: thehackernews.com