Bad Epoll 0-Day: Уразливість Ядра Linux та Android через Перегонову Умову
Будь-який керівник платформи, який обслуговує парк Linux-хостів або публікує Android-застосунок із WebView, має сприймати цьоготижневе розкриття як питання бюджету, а не як звичайний квиток на патч. Щойно опублікована вразливість ядра під назвою Bad Epoll надає непривілейованому локальному користувачеві надійний шлях до root на серверах, десктопах та Android-пристроях, і вона доступна зсередини пісочниці Chrome renderer. Така комбінація змінює модель загрози для будь-кого, чия продуктова поверхня стикається з браузером або Android-ендпоінтом.
Технічна сторона питання цікава. Але бізнесова сторона — хто несе витрати на реагування — це те, що варто обговорювати всередині компанії цього місяця.
Ключові деталі
Вразливість, що відстежується як CVE-2026-46242, — це use-after-free у ep_remove(), шляху завершення роботи всередині підсистеми epoll ядра Linux. Як повідомляє CyberSecurityNews, недолік очищає file->f_ep під file->f_lock, але продовжує використовувати об'єкт файлу всередині критичної секції під час hlist_del_rcu() та spin_unlock(). Паралельний виклик __fput() може виявити транзитний NULL, пропустити eventpoll_release_file() і перейти безпосередньо до f_op->release, звільняючи struct eventpoll, який ще використовується.
Оскільки struct file є SLAB_TYPESAFE_BY_RCU, звільнений слот може бути перевикористаний через alloc_empty_file(). Це дає зловмиснику можливість ініціювати kmem_cache_free() проти неправильного slab-кешу. Дослідник Чун Чже'ен подав цей баг як zero-day до програми kernelCTF від Google, яка платить $71 337 або більше за робочі експлойти ядра Linux.
Сам експлойт є справжнім витвором майстерності. Він використовує чотири об'єкти epoll, організовані в дві пари; закриття однієї пари запускає перегонову умову, тоді як інша стає жертвою. Це перетворює 8-байтовий UAF-запис на UAF файлового об'єкта через cross-cache атаку. Далі зловмисник отримує довільне читання пам'яті ядра через /proc/self/fdinfo та перехоплює потік керування за допомогою ROP-ланцюга для отримання root shell. Вікно перегонової умови складає приблизно шість інструкцій. Експлойт Чуна розширює його, виконує чисті повтори без паніки ядра та демонструє близько 99% надійності на протестованих цілях.
Жодного обхідного рішення не існує. Epoll є основним компонентом ядра, який неможливо вимкнути або вивантажити — саме тому баг надає root як на Android, так і на серверах. Адміністратори або застосовують оновлення upstream, або чекають, поки їхній дистрибутив виконає бекпорт.
Чому це важливо для команд безпеки
Важливий архітектурний факт полягає в тому, що Bad Epoll доступний зсередини пісочниці Chrome renderer. Поєднайте його з вразливістю renderer — і ви отримаєте повне виконання коду ядра із ворожої веб-сторінки. Для будь-якої команди, що постачає Android-продукт, десктопний застосунок на Electron або поверхню на основі Chromium, це різниця між «вразливістю ядра, яку варто патчити» та «remote-to-root примітивом, який потрібно моделювати».
Наслідки для найму є незручними. Більшість служб безпеки у фінтех-компаніях серії B та середніх iGaming-операторів не мають у штаті інженера, обізнаного з ядром. Вони мають generalist-спеціалістів з appsec та контракт із SOC. Коли з'являється такий баг, питання про те, хто читає патч, перевіряє бекпорт і підписує мобільне складання, лягає на того, хто підніме руку. Це прогалина в найманні, а не в інструментах, і жоден EDR-вендор не закриє її за вас.
Регуляторні ризики варіюються залежно від галузі, але вони реальні. Ліцензовані iGaming-оператори, що запускають Android-застосунки для гравців на регульованих ринках, мають таймери повідомлення про порушення, які починають відлічувати з моменту виявлення, а не з моменту експлуатації. Фінтех-компанії з позицією SOC 2 або ISO 27001 матимуть задокументувати часову шкалу реагування. Криптокастодіальні компанії, що використовують захищені Linux-хости, отримують найгірше з обох світів: вразливість ядра на стороні сервера плюс мобільні поверхні підпису на стороні клієнта.
CFO будь-якої споживчої фінтех-компанії має запитати у свого VP Engineering цього тижня, який відсоток бази Android-інсталяцій знаходиться на гілці ядра, яка фактично отримає своєчасний бекпорт, і скільки коштує примусове оновлення застосунку до циклу OEM. Ця цифра виявиться гіршою, ніж хто-небудь очікує. Затримка патчів ядра Android завжди була неприємною частиною моделі безпеки мобільних пристроїв, і саме цей баг може залишатися непатченим на пристроях середнього класу від шести до дев'яти місяців.
Вплив на галузь
У розкритті є ще одна, тихіша історія, яка, на мою думку, більше впливає на розподіл бюджетів безпеки протягом наступних дванадцяти місяців. Один коміт ядра 2023 року вніс дві окремі перегонові умови в той самий шлях коду epoll із 2 500 рядків. Перша, CVE-2026-43074, була знайдена моделлю Mythos від Anthropic. Mythos пропустив Bad Epoll — важчу для виявлення другу перегонову умову — імовірно тому, що вікно таймінгу вузьке, і баг рідко спрацьовує на KASAN, основному детекторі помилок пам'яті ядра.
Читайте уважно. Аудит ядра за допомогою AI вже достатньо хороший, щоб знаходити реальні перегонові умови у виробничому коді ядра. Але він ще недостатньо хороший, щоб знаходити ті, що не залишають ознак під час виконання. Це має прямі наслідки для дискусії «будувати чи купувати», яка відбувається в кожній платформній організації прямо зараз. Якщо ви CTO, якому пропонують AI-продукт для аудиту безпеки, чесне позиціонування полягає в тому, що він виявить клас багів, які інструментарій вже підсвічує, і пропустить клас, що вимагає терплячої людської інтуїції щодо slab-кешів та RCU-семантики. Ціну встановлюйте відповідно.
Для вендорського ринку Bad Epoll нагадує, що програми баунті в стилі kernelCTF — це недооцінене страхування. Google заплатив мінімум $71 337 за баг, який у поєднанні з renderer-експлойтом продавався б у кілька разів дорожче на наступальному ринку. Будь-який платформний бізнес, чий продукт залежить від цілісності Linux або Android, має запитати, чи відповідають їхні власні ліміти баунті реальній вартості альтернативи. Більшість — ні.
Дистрибутивні вендори також виглядають повільними в цій ситуації. Перша спроба патчу мейнтейнерів не вирішила проблему повністю, і правильне виправлення з'явилося майже через два місяці після початкового розкриття. Це реальне вікно, яке ваш план реагування на інциденти має витримати, а не теоретичний інтервал zero-day.
За чим слідкувати
Три сигнали варто відстежувати протягом наступного кварталу. По-перше, наскільки швидко основні Android OEM-виробники включать бекпорт у свої щомісячні бюлетені безпеки. Історично це великий розкид, і цей баг покаже, які вендори дійсно інвестували в конвеєри патчів ядра, а які досі передають завдання партнерам із кремнію та сподіваються на краще.
По-друге, слідкуйте за неминучим публічним релізом експлойта. Звіт Чуна є детальним, перегонова умова добре охарактеризована, а надійність у 99% означає, що хтось портує його в модуль Metasploit до кінця Q3. Саме тоді починається опортуністичне використання, і саме тоді цей баг потрапляє до каталогу CISA KEV із жорстким федеральним дедлайном.
По-третє, слідкуйте за тим, що Anthropic та його конкуренти опублікують далі про AI-асистований аудит ядра. Якщо у відповідь на те, що Mythos пропустив Bad Epoll, з'явиться модель другого покоління, спеціально налаштована на вузьковіконні перегонові умови та баги, невидимі для KASAN, економіка аудиту ядра зміниться швидко. Якщо ні — очікуйте, що ринок людського таланту у сфері безпеки ядра залишиться жорстко обмеженим, а компенсація за цей набір навичок зросте ще на один рівень.
Команди, що оцінюють витрати на безпеку у 2026 році, мають запитати себе, чи може їхній конвеєр мобільних оновлень насправді доставити патч ядра кінцевим користувачам у рамках вікна, обіцяного регуляторам, — і якщо ні, то чого вартує закрити цю прогалину до появи наступного Bad Epoll.
Ключові висновки
- Bad Epoll (CVE-2026-46242) — це use-after-free у завершенні роботи Linux epoll, що забезпечує root із надійністю близько 99% для непривілейованого локального користувача, без жодного обхідного рішення, окрім upstream-патча.
- Баг доступний із пісочниці Chrome renderer, перетворюючи будь-який renderer RCE на повний ланцюг виконання коду ядра як на Linux, так і на Android.
- Ризик для Android є структурним: epoll не можна вимкнути, і затримка патчів OEM залишить велику частину бази інсталяцій вразливою протягом місяців.
- AI-асистований аудит ядра знайшов споріднений баг (CVE-2026-43074), але пропустив Bad Epoll — корисний орієнтир для тих, хто включає AI-інструменти безпеки у бюджет на 2026 рік.
- Виплата Google у розмірі $71 337 за kernelCTF — це нижня межа, а не стеля; внутрішні програми баунті, ліміти яких нижчі за цю суму, недострахують саме від такого класу вразливостей.
Часті запитання
П: Які системи уражені вразливістю Bad Epoll?
Bad Epoll (CVE-2026-46242) впливає на сервери Linux, десктопи Linux та Android-пристрої, оскільки epoll є основним компонентом ядра, який неможливо вимкнути або вивантажити. Будь-яка система, що використовує вразливу гілку ядра, залишається під загрозою до застосування upstream-патча або дистрибутивного бекпорта.
П: Чи можна експлуатувати Bad Epoll віддалено?
Самостійно баг вимагає локального непривілейованого доступу. Однак він доступний зсередини пісочниці Chrome renderer, що означає: поєднання його з експлойтом браузерного renderer дає повне віддалене виконання коду ядра на уражених Linux та Android цілях.
П: Чому AI Mythos від Anthropic знайшов одну перегонову умову epoll, але пропустив Bad Epoll?
Обидві перегонові умови були внесені одним комітом 2023 року в шлях коду з 2 500 рядків. Mythos знайшов першу (CVE-2026-43074), але пропустив Bad Epoll, імовірно тому, що вікно таймінгу складає лише близько шести інструкцій, а баг рідко спрацьовує на KASAN, залишаючи мало ознак під час виконання для автоматизованого аналізу.
Витік даних Singapore Land Authority: 70 000 записів з IBM Cloud
Набір даних 1998 року в хмарному середовищі IBM розкрив реальні дані 70 000 сінгапурців. Робочі системи не постраждали. Вразливим виявився тестовий пісочниця.
Exploitarium-злив змушує переглянути ризики постачальників
Псевдонімний дослідник опублікував 30+ zero-day, знайдених за допомогою AI-фазингу, на GitHub без координації з вендорами. Platform-ліди тепер мають незапланований патч-цикл.
Draper Заперечує Мітку Arkham: Проблема Атрибуції Гаманців
Arkham позначив гаманець із $62 млн в Bitcoin як «Tim Draper?», але Дрейпер це заперечує. Економіка атрибуції проходить перевірку на достовірність.




