近日,安全研究人员公开披露了一起 Linux 内核 epoll 子系统漏洞,代号 “Bad Epoll”(CVE-2026-46242)。
该漏洞属于 Use-After-Free 竞态条件问题,在特定条件下,受影响系统中的本地低权限进程可能借此提升至 root 权限。其潜在影响面包括使用受影响内核版本且尚未修复的 Linux 桌面、服务器以及部分 Android 设备。目前上游内核和主流发行版已陆续发布修复补丁,建议相关系统尽快完成内核更新并重启生效。
需要注意的是,该漏洞并非远程直接利用漏洞,攻击者通常需要先具备本地代码执行能力,或将其作为其他漏洞链的一环使用。研究人员已经构造出稳定利用链,在 kernelCTF 测试目标环境中可达到接近 99% 的提权成功率,但截至公开报道时,尚未看到大规模野外利用证据。
epoll 是 Linux 内核中非常基础的机制,用于高效管理大量文件描述符(如网络连接、IO事件),几乎所有服务器程序、浏览器、系统服务都依赖它运行。
这次的“Bad Epoll”,本质是一类经典但危险的内核问题:
Use-After-Free(释放后使用)竞态条件漏洞
在特定并发场景下,内核中两个不同路径会几乎同时访问同一对象:
短暂的冲突窗口中,内存结构被破坏,从而为攻击者提供“篡改内核数据”的机会。
但真正让这个漏洞变得可怕的,是它的触发窗口:
也就是说,随机触发几乎不可能成功,属于典型“拼时间”的竞态漏洞。
传统来看,这类漏洞通常“难发现、难利用、难稳定复现”。
Bad Epoll 同样具备三个典型特征:
时间窗口极短(6指令级别)
不稳定、容易崩溃
依赖复杂调度时序
但研究人员通过精心设计的攻击链,使其具备:
自动重试机制
竞争窗口放大技巧
稳定触发内核内存破坏路径
最终实现了在测试环境中接近 99%成功率的提权效果。
该漏洞的危险性不仅在于“提权”,还在于攻击面扩大:
研究显示,该漏洞在某些情况下可以从 Chrome renderer 沙箱内部发起攻击。
这意味着:
由于Android同样基于Linux内核,该漏洞可能影响移动设备安全。
不过部分旧内核版本(如6.1系)暂未受影响。
更值得注意的是,该漏洞被认为源自 2023年的一次epoll相关修改。
这类情况在内核开发中并不罕见:
修复一个竞态问题
却引入新的释放路径
形成“兄弟级漏洞”
Bad Epoll 正是这种“修复副作用”的典型案例之一。甚至有研究者指出,AI安全模型在审计代码时曾发现过同源问题的另一变体,但未能捕捉到这一“隐藏分支”。
目前该漏洞情况如下:
CVE编号:CVE-2026-46242
已有PoC(概念验证)公开
未发现大规模野外利用
Google kernelCTF已收录研究
修复补丁已发布(建议尽快更新)
受影响版本主要为:
Linux 6.4及以上内核部分版本
多数未更新补丁的服务器系统
部分Android设备
Bad Epoll 再次提醒一个现实问题:
Linux内核最危险的漏洞类型,不是逻辑错误,而是“时间问题”。
竞态条件的特点决定了它:
这也是为什么它能在多年之后,仍不断演化出新的提权漏洞。
从 Dirty COW 到 Dirty Pipe,再到 Bad Epoll,Linux内核提权漏洞始终在重复一个模式:
“只要时间窗口足够短,系统就可能被撕开一道口子。”
而这一次,仅仅6条指令的差距,就可能决定一台机器是否彻底失守。