Il 3 luglio 2026 esce allo scoperto CVE-2026-46242, una vulnerabilità nel sottosistema epoll del kernel Linux che permette a un utente non privilegiato di ottenere privilegi root con un exploit quasi infallibile. Il ricercatore Jaeyoung Chung ha dimostrato che il bug è sfruttabile dall'interno della sandbox del renderer di Chrome — che blocca quasi tutti gli altri bug kernel — e può raggiungere Android, una combinazione rara per le escalation di privilegi Linux. Non esiste workaround: epoll è una componente core del kernel e non può essere disabilitata.
- CVE-2026-46242 è una race condition use-after-free nel sottosistema epoll del kernel Linux, con CVSS 7.8 HIGH, che permette escalation a root da utente non privilegiato.
- L'exploit raggiunge il 99% di affidabilità nonostante una finestra di race di sole sei istruzioni macchina, grazie a tecniche di allargamento e retry senza crash.
- Il bug è sfruttabile dalla sandbox di Chrome e su dispositivi Android con kernel 6.4+, incluso Pixel 10; Pixel 8 e dispositivi basati su kernel 6.1 non sono affetti.
- Il bug è stato introdotto nell'aprile 2023 (commit 58c9b016e128), scoperto da Jaeyoung Chung, e fixato in mainline il 24 aprile 2026 (commit a6dc643c6931) dopo un primo tentativo fallito.
Come funziona la race condition nel cuore di epoll
Il sottosistema epoll gestisce il polling di eventi su file descriptor, una delle primitive più usate in applicazioni server e browser. CVE-2026-46242 nasce da una collisione tra due percorsi di chiusura: entrambi tentano di ripulire lo stesso oggetto interno, uno libera la memoria mentre l'altro vi scrive ancora. Come spiegato da The Hacker News: "Bad Epoll is a 'use-after-free' bug. Two parts of the kernel try to clean up the same internal object at the same time. One frees the memory while the other is still writing into it."
La finestra di vulnerabilità è microscopica: circa sei istruzioni macchina. Un tentativo casuale di colpirla fallisce quasi sempre. Chung ha risolto il problema allargando artificialmente la finestra e implementando un meccanismo di retry che non crasha il sistema, raggiungendo root nel 99% dei casi sui sistemi testati.
L'exploit segue un percorso sofisticato: dall'UAF iniziale sull'oggetto epoll si passa a un UAF su file object, poi a un cross-cache attack, quindi a lettura arbitraria del kernel via /proc/self/fdinfo, e infine a una ROP chain per ottenere shell con privilegi massimi. Il PoC pubblico su GitHub raggiunge il 98% di affidabilità sul target Google kernelCTF cos-121-18867.294.100.
"The catch is timing. The window where the two paths collide is only about six machine instructions wide, so a random attempt almost never lands in it. Chung's exploit widens that window and retries without crashing, reaching root about 99% of the time on tested systems." — Swati Khandelwal, The Hacker News
Chrome e Android: due bersagli che di solito resistono
La maggior parte dei bug di escalation di privilegi Linux non può essere attivata dalla sandbox di Chrome né raggiungere Android. Bad Epoll viola entrambi i confini. La sandbox del renderer di Chrome è progettata per bloccare l'accesso diretto a syscall pericolose, ma epoll è tra le primitive consentite — una necessità architetturale per gestire eventi asincroni nel browser.
Su Android, il vettore è ancora più insidioso. Secondo il repository di Chung, solo circa dieci delle oltre centotrenta vulnerabilità sfruttate su kernelCTF sono candidate al rooting di Android. Bad Epoll è una di queste. Pixel 10, che monta kernel 6.6+, è vulnerabile; Pixel 8 e dispositivi basati su kernel 6.1 non lo sono. L'exploit Android completo è indicato come "in progress" al momento della pubblicazione.
Questa duplice raggiungibilità — Chrome e Android — trasforma un bug kernel in un problema di sicurezza applicativa e mobile, non solo server.
Timeline e il percorso tortuoso del fix
Il bug è stato introdotto il 2023-04-08 con il commit 58c9b016e128, nella serie 6.4 del kernel Linux. È rimasto latente per quasi tre anni prima che Chung lo scoprisse e lo segnalasse come zero-day a Google kernelCTF, dove ha ottenuto una ricompensa di oltre 71.337 dollari.
Il percorso del fix è stato tutt'altro che lineare. Chung ha inviato il report iniziale a security@kernel.org il 17 febbraio 2026. I maintainer hanno proposto una patch prototipo, ma non era una correzione valida. Il fix definitivo è approdato in mainline solo il 24 aprile 2026 con il commit a6dc643c6931: circa due mesi di iterazione su una race condition che richiede comprensione profonda dei percorsi di chiusura epoll.
Allo stato attuale, il bug non risulta nella CISA Known Exploited Vulnerabilities list, e l'unico codice funzionante noto è il PoC di kernelCTF. Non emergono segni di sfruttamento in-the-wild.
L'AI Mythos ha trovato il vicino, non il bersaglio
L'angolo più interessante di Bad Epoll è ciò che rivela sui limiti dell'intelligenza artificiale nella ricerca di vulnerabilità. Anthropic Mythos, il sistema di ricerca automatica di bug, aveva già esaminato la stessa area di codice epoll e trovato CVE-2026-43074 — una vulnerabilità correlata ma distinta. Bad Epoll è sfuggito.
Il motivo è tecnico e non casuale. La race condition di Bad Epoll ha una finestra così stretta che non triggera strumenti di rilevamento runtime come KASAN dopo il primo tentativo di fix, rendendo invisibile la vulnerabilità a metodi di analisi che dipendono da evidenze di corruzione memoria. La specializzazione umana su timing e condizioni di competizione — la capacità di ragionare su sequenze di istruzioni e stati intermedi del kernel — resta un dominio difficile da replicare automaticamente.
Chung stesso nota nel suo repository che "no one can be sure" del motivo esatto del mancato rilevamento da parte di Mythos, ma la correlazione tra finestra minuscola e assenza di evidenza runtime offre un'ipotesi plausibile. Il caso non dimostra l'inutilità dell'AI nella ricerca vulnerabilità, ma ne delinea i confini: le race condition sono un terreno dove la ricerca umana specializzata conserva un vantaggio significativo.
Cosa fare adesso
Gli amministratori di sistema con kernel Linux 6.4 o successivi devono pianificare l'applicazione del commit a6dc643c6931 o dei backport delle distribuzioni. Non esiste alternativa di mitigazione: epoll non può essere disabilitato senza compromettere applicazioni fondamentali.
I team di sicurezza dei browser che usano sandbox simile a Chrome devono considerare che questa categoria di bug kernel è bypassabile, e valutare se aggiungere controlli sulle chiamate epoll o ridurre la superficie esposta.
Gli utenti Android con dispositivi Pixel 10 o equivalenti con kernel 6.6+ devono attendere aggiornamenti OEM che incorporino il fix mainline. L'assenza di exploit completo Android al momento della notizia offre una finestra di mitigazione, ma il PoC pubblico la rende stretta.
I programmi bug bounty devono aggiornare le loro matrici di rischio: le race condition con affidabilità elevata e raggiungibilità multi-piattaforma meritano categorie di severità ricalibrate, anche quando la finestra tecnica appare minuscola.
Perché Bad Epoll segna un punto di svolta
La lezione di Bad Epoll non è che il kernel Linux è fragile, ma che le primitive più antiche e affidabili — epoll esiste dal 2002 — possono nascondere difetti di competizione introdotti da refactoring successivi. Il commit del 2023 che ha introdotto il bug non era un'aggiunta esotica, ma una modifica al percorso di cleanup che ha accidentalmente sdoppiato la responsabilità di rilascio memoria.
Per il settore della sicurezza, il caso offre due letture convergenti. Da un lato, la conferma che le sandbox browser restano un obiettivo di alto valore e che i bug kernel sono ancora la chiave per forzarle. Dall'altro, il limite dimostrato di sistemi AI come Mythos nel rilevare race condition con finestra stretta e senza evidenza runtime — un campo dove la competenza umana su timing e analisi manuale del codice assembly mantiene un ruolo insostituibile. L'AI ha trovato il fratello di Bad Epoll; Jaeyoung Chung ha trovato Bad Epoll stesso. La differenza non è marginale.
FAQ
Quali versioni del kernel sono esattamente vulnerabili?
Il bug è stato introdotto in kernel 6.4 (aprile 2023) ed è presente in tutte le versioni successive fino al fix del 24 aprile 2026. Dispositivi con kernel 6.1 o precedenti, come Pixel 8, non sono affetti.
Perché non esiste workaround?
Epoll è una system call fondamentale per il polling asincrono di eventi su file descriptor. Disabilitarla renderebbe inutilizzabili applicazioni server, browser e framework asincroni. La fonte non indica alcuna configurazione di mitigazione alternativa.
Cos'è Google kernelCTF e perché il bounty supera i 71.000 dollari?
È un programma di Google che premia exploit dimostrativi su target kernel Linux configurati appositamente. La ricompensa di oltre 71.337 dollari riflette la difficoltà tecnica e l'affidabilità dimostrata dell'exploit.
Fonti
- https://thehackernews.com/2026/07/new-bad-epoll-linux-kernel-flaw-lets.html
- https://www.bleepingcomputer.com/news/artificial-intelligence/claude-fable-relaunch-disappoints-users-with-nerfed-performance/
- https://arstechnica.com/ai/2026/04/mozilla-anthropics-mythos-found-271-zero-day-vulnerabilities-in-firefox-150/
- https://github.com/J-jaeyoung/bad-epoll
- https://nvd.nist.gov/vuln/detail/CVE-2026-31694
- https://thehackernews.com/
- https://thehackernews.com/p/upcoming-hacker-news-webinars.html
- https://thehackernews.com/search/label/Threat%20Intelligence
- https://thehackernews.com/search/label/Vulnerability
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.