Una vulnerabilità del kernel Linux, denominata Bad Epoll (CVE-2026-46242), consente a un utente locale privo di privilegi di ottenere l’accesso root su sistemi Linux e dispositivi Android vulnerabili. Sono già disponibili le patch di sicurezza e l’installazione degli aggiornamenti è fortemente raccomandata.
La falla interessa il sottosistema epoll, componente fondamentale del kernel utilizzato da server, browser e innumerevoli applicazioni per gestire in modo efficiente più connessioni di rete ed eventi relativi ai file. Trattandosi di una funzionalità essenziale del kernel Linux, non esistono mitigazioni pratiche alternative all’applicazione delle correzioni.
Bad Epoll è una vulnerabilità di tipo use-after-free causata da una race condition: due thread del kernel tentano di liberare contemporaneamente lo stesso oggetto interno, consentendo a uno dei percorsi di continuare a utilizzare memoria già rilasciata. Sfruttando questa finestra temporale, un attaccante può corrompere la memoria del kernel, ottenere letture arbitrarie tramite /proc/self/fdinfo ed eseguire una catena ROP fino a ottenere una shell root.
Nonostante la finestra di sfruttamento sia estremamente ridotta (circa sei istruzioni della CPU), il ricercatore Jaeyoung Chung ha sviluppato una proof-of-concept con un tasso di successo di circa il 99% nei sistemi testati. Secondo il ricercatore, l’exploit può essere eseguito anche dalla sandbox del renderer di Chrome, aumentando il potenziale impatto della vulnerabilità anche sui dispositivi Android.
La vulnerabilità interessa i kernel Linux 6.4 e successivi che non includono ancora la patch upstream. I kernel basati sulla serie 6.1 LTS, compresi alcuni dispositivi Android come Pixel 8, non risultano vulnerabili poiché il codice difettoso è stato introdotto successivamente.
Un aspetto particolarmente interessante riguarda la ricerca assistita dall’intelligenza artificiale. Bad Epoll interessa la stessa porzione di codice in cui il modello Mythos di Anthropic aveva individuato la precedente vulnerabilità CVE-2026-43074. Entrambe le race condition sono state introdotte da un unico commit del 2023, ma mentre la prima è stata rilevata dall’IA, Bad Epoll è stata scoperta esclusivamente tramite analisi manuale, evidenziando i limiti attuali dei modelli di AI nell’individuazione di condizioni di gara particolarmente complesse.
Al momento non risultano evidenze di sfruttamento della vulnerabilità in attacchi reali. L’unico exploit pubblico disponibile è la proof-of-concept rilasciata nell’ambito del programma kernelCTF di Google, mentre una versione specifica per Android sarebbe ancora in fase di sviluppo.





