Bad Epoll (CVE-2026-46242) adı verilen yeni açıklanan bir Linux çekirdek kusuru, özel erişimi olmayan sıradan bir kullanıcının root olarak bir makinenin tam kontrolünü ele geçirmesine olanak tanıyor. Linux masaüstü bilgisayarlarını, sunucularını ve Android'i etkiliyor ve bir düzeltme çıktı.
Bad Epoll, Anthropic'in en güçlü yapay zeka modeli Mythos'un yakın zamanda farklı bir hata bulduğu çekirdek kodunun aynı küçük bölümünde bulunuyor.
Yapay zeka bir kusur yakaladı ve bunu gözden kaçırdı. Araştırmacı Jaeyoung Chung bunu buldu ve çalışan bir saldırı geliştirdi.
Uzmanların Görüşleri
Epoll, bir programın birçok dosyayı veya ağ bağlantısını aynı anda izlemesine olanak tanıyan standart bir Linux özelliğidir. Sunucular, ağ hizmetleri ve web tarayıcılarının tümü buna dayanır. Basitçe kapatamazsınız.
Detaylar ve Etkileri
Bad Epoll bir "ücretsiz kullanım" hatasıdır. Çekirdeğin iki parçası aynı anda aynı dahili nesneyi temizlemeye çalışır. Biri hafızayı serbest bırakırken diğeri hala yazmaya devam ediyor. Bu kısa çarpışma, saldırganın çekirdek belleğini bozmasına ve ardından normal bir hesaptan root'a tırmanmasına olanak tanır.
Gelecekte Ne Bekleniyor?
Yakalama zamanlamadır. İki yolun çarpıştığı pencere yalnızca yaklaşık altı makine talimatı genişliğindedir, dolayısıyla rastgele bir girişim neredeyse hiçbir zaman bu pencereye düşmez. Chung'un istismarı bu pencereyi genişletir ve çökmeden yeniden dener; test edilen sistemlerde yaklaşık %99 oranında root'a ulaşır.
İki şey onu daha tehlikeli kılıyor: onun hesabı tarafından, neredeyse tüm diğer çekirdek hatalarını engelleyen Chrome'un oluşturucu sanal alanının içinden tetiklenebiliyor ve çoğu Linux ayrıcalık hatasının ulaşamadığı Android'e ulaşabiliyor.
Nasıl Önlem Alınmalı?
Chung, kusuru Google'ın kernelCTF programına sıfır gün olarak bildirdi ve tüm teknik ayrıntılar kamuya açık yazısında yer alıyor. Gerçek saldırılarda kullanıldığına dair bir işaret yok: bu yazının yazıldığı an itibariyle, CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları listesinde yer almıyor ve çalışan tek kod, kernelCTF kavram kanıtıdır. Bu istismarın Android sürümü hala devam ediyor.
Her iki hata da epoll kodunda 2023'te yapılan tek bir değişikliğe dayanıyor. Chung, Mythos'un şu anda CVE-2026-43074 olarak izlenen ikisinden ilkini bulduğunu ve 2026'nın başlarında sabit iniş yaptığını söylüyor.
Teknik Analiz
Anthropic ayrıca Mythos'un Linux çekirdeği ayrıcalık yükseltme hataları bulduğunu söyledi, ancak bu çalışmayı Bad Epoll ile kamuya açık bir şekilde ilişkilendirmedi. İlkini bulmak gerçek bir sonuçtu çünkü yarış koşullarındaki hataları tespit etmek oldukça zordur.
Sistem Güvenliği
Peki neden aynı yapay zeka kardeş kusurunu gözden kaçırdı? Chung iki olası neden öne sürüyor ve kimsenin emin olamayacağını söylerken dikkatli davranıyor.
Birincisi, zamanlama penceresi küçüktür, dolayısıyla koda bakarken bile olayların tam sırasını hayal etmek zordur.
İkincisi, çalışma zamanında çok az kanıt vardır.
Sonuç ve Değerlendirme
İlk hata düzeltildikten sonra Bad Epoll'un hafıza hatası genellikle çekirdeğin ana hata algılayıcısı olan KASAN'ı tetiklemiyor, dolayısıyla hiçbir şey bir şeylerin yanlış olduğunu işaret etmiyor.
Epoll kapatılamaz, dolayısıyla geçici bir çözüm yoktur. Yukarı akış taahhüdünü a6dc643c6931 uygulayın veya dağıtımınızın destek portunu indiğinde yükleyin. 6.4 veya daha yeni bir sürümde oluşturulan çekirdekler, halihazırda düzeltmeye sahip olmadıkları sürece etkilenir.
Hata 6.4'te ortaya çıktığı için Pixel 8 gibi bazı Android telefonlar da dahil olmak üzere daha eski 6.1 tabanlı çekirdekler bu durumda değil.
Önemli Gelişmeler
Linux Çekirdeği İçin Kötü Bir Yıl
Bad Epoll, Bad Binder, Bad IO_uring ve Bad Spin olarak adlandırılan önceki girişlerin ardından, Android'i rootlamak için kullanılan iyi bilinen çekirdek hataları ailesine katılıyor.
Aynı zamanda Linux ayrıcalık kusurları açısından da yoğun bir dönemden geçiyor, ancak son zamanlardakilerin çoğu farklı çalışıyor. Kopyalama Başarısızlığı (CVE-2026-31431) Nisan ayında ortaya çıktı ve şu anda CISA'nın Bilinen İstismar Edilen Güvenlik Açıkları listesinde yer alıyor. Ondan sonra Dirty Frag zinciri, Fragnesia, DirtyClone, pedit COW geldi.
Her ikisi de Dirty Pipe (2022) gibi deterministik sayfa önbellek yazma hatalarıdır ve kazanma yarışı yoktur, bu da onları çalıştırmayı çok daha güvenilir kılar. Bad Epoll ise daha eski, daha zor tür: Dirty Cow (2016) gibi kazanmanız gereken bir yarış.
Yapay zeka odaklı araştırma firması Bynario tarafından bulunan, çekirdeğin FUSE dosya sistemi kodundaki ayrı bir kusur olan CVE-2026-31694 için genel bir kavram kanıtı da ortaya çıktı. FUSE erişimi olan yerel bir kullanıcı, çekirdeğe kötü amaçlı bir dosya sistemi besleyebilir ve belleği bozabilir.
Kuruluma bağlı olarak bu, root erişimi, veri sızıntısı veya çökme anlamına gelebilir. Bu erişim kapsayıcılarda ve kullanıcı ad alanlarında yaygın olduğundan, telefon erişiminden ziyade sunucu ve kapsayıcı riski taşır.
Bynario tek kişi değil. Mythos ayrıca FreeBSD'nin NFS sunucusunda (CVE-2026-4747) 17 yıllık bir uzaktan kod yürütme hatasını buldu ve kullandı ve Anthropic araştırmacıları, diğer çekirdek kusurlarını ortaya çıkarmak için modellerini kullandı.
Bad Epoll yararlı bir kontrpuandır. Yarış şartlarının her noktada zor olduğunu gösteriyor yaş: lider bir yapay zeka için bile bulunması zor; İlk yama yetersiz kaldığı ve doğru yama yaklaşık iki ay sürdüğü için düzeltilmesi zor; ve yalnızca altı talimat genişliğindeki bir pencereden yararlanılması zor. Şimdilik, yapay zekanın aştığı hata hâlâ bir kişinin yakalaması gereken hata.