聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Bad Epoll 位于与 Anthropic 公司最强大 AI 模型 Mythos 最近找到的另外漏洞一样的一小段内核代码中。Bad Epoll 漏洞并非由Mythos 发现,而是由 Jaeyoung Chung 发现并构建了一个可运行的利用。


Epoll是Linux的一个标准功能,允许程序同时监控大量文件或网络连接。服务器、网络服务和网页浏览器都依赖该功能,且无法简单地将其关闭。Bad Epoll是一个释放后使用漏洞。内核的两个部分试图同时清理同一个内部对象,一部分释放内存,而另一部分仍在向其中写入数据。这种短暂的冲突使得攻击者能够破坏内核内存,然后从普通账户提升至root权限。提权的关键在于时机。这两个执行路径发生冲突的时间窗口仅约六条机器指令宽,因此随机尝试几乎不可能恰好命中。Chung编写的利用程序能够扩大这一窗口,并在不导致系统崩溃的情况下反复尝试,在测试系统上约有99%的概率成功获取root权限。
Chung 提到,两件事使该漏洞更加危险:它可从Chrome渲染器沙箱内部触发,而沙箱会阻止几乎所有其它内核漏洞;同时它还能影响Android,而大多数Linux提权漏洞都无法做到这一点。Chung将该漏洞作为 0day 漏洞提交谷歌的kernelCTF项目,完整技术细节已在他的公开分析文章中发布。目前尚无迹象表明该漏洞已被用于实际攻击:截至本文撰写时,它尚未出现在CISA的已知被利用漏洞目录中,且唯一可用的代码仅是kernelCTF的概念验证。针对Android版本的利用程序仍在开发中。
Mythos 和 Chung 发现分别发现的这两个漏洞都可追溯到2023年对epoll代码的一次更改。Chung表示,Mythos发现了其中的第一个,编号为CVE-2026-43074,修复补丁已于2026年早些时候发布。
Anthropic曾表示Mythos发现了Linux内核提权漏洞,但并未公开与Bad Epoll联系起来。发现第一个漏洞已是实实在在的成果,因为竞争条件类漏洞极难被发现。那么,为什么同一个AI却漏掉了那个同类漏洞?Chung给出了两个可能的原因,并谨慎地表示没人能确定。
首先,时间窗口极小,因此即便盯着代码看,也很难想象出确切的事件顺序。
其次,运行时几乎没有什么迹象。
第一个漏洞被修复后,Bad Epoll的内存错误通常不会触发KASAN(内核的主要错误检测工具),所以没有任何迹象表明出了问题。由于Epoll无法关闭,因此没有规避方案。
用户应应用上游提交a6dc643c6931,或在所用发行版提供反向移植补丁时进行安装。基于6.4及以上版本构建的内核均受影响,除非已包含该修复。基于6.1的旧版内核(包括部分安卓手机,如Pixel 8)则不受影响,因为该漏洞是在6.4中引入的。


Bad Epoll成为获取安卓root权限的知名内核漏洞家族新成员,该家族还包括Bad Binder、Bad IO_uring和Bad Spin等。
该漏洞也出现在Linux权限漏洞的频发期,不过与最近的大多数漏洞运作方式不同。Copy Fail(CVE-2026-31431)于4月出现,现已列入CISA的已知被利用漏洞目录。之后还纳入Dirty Frag链、Fragnesia、pedit COW等。上述这些都是确定性的页缓存写入漏洞,类似于Dirty Pipe(2022年),无需竞争条件,因此运行起来可靠得多。Bad Epoll则属于更古老、更困难的那种:需要赢得一场竞争,就像Dirty Cow(2016年)那样。
此外,由 AI 驱动的研究公司 Bynario 发现的内核FUSE文件系统代码中的另外一个漏洞 CVE-2026-31694 的 PoC 也公开。拥有FUSE访问权限的本地用户可以向内核提供恶意文件系统并破坏内存。根据具体配置,它可能导致root权限获取、数据泄露或系统崩溃。由于这种访问权限在容器和用户命名空间中很常见,因此它更多是服务器和容器方面的风险,而非手机风险。Bynario并非唯一一家找到这类漏洞的公司。Mythos还发现并利用了FreeBSD NFS服务器中一个存在17年之久的远程代码执行漏洞(CVE-2026-4747),而Anthropic的研究人员也通过模型发现了其它内核缺陷。
Bad Epoll则并非如此。该漏洞表明竞争条件在每个阶段都很困难:难以被发现,即使对领先的AI也是如此;难以修复,因为第一个补丁并不完善,正确的补丁耗时约两个月;而且难以利用,因为时间窗口仅有六条指令宽。就目前而言,AI忽略的漏洞,正是需要人类捕获的。
DirtyClone: Linux 内核新漏洞,通过克隆的数据包获得根权限
400多个Arch Linux 包受陷,用于推送 rootkit、信息窃取器
一个字符引起的 Linux Kernel 漏洞可导致本地 root 访问
https://thehackernews.com/2026/07/new-bad-epoll-linux-kernel-flaw-lets.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。


奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~