Yeni açıklanan bir Linux çekirdek açığı olan Bad Epoll (CVE-2026-46242), herhangi bir özel erişimi olmayan sıradan bir kullanıcının, kök (root) olarak bir makineyi tamamen kontrol etmesine olanak tanımaktadır. Bu açık, Linux masaüstleri, sunucular ve Android’i etkilemekte olup, bir düzeltme mevcut.
Bad Epoll, Anthropic’in en güçlü yapay zeka modeli olan Mythos‘un yakın zamanda tespit ettiği farklı bir hatayla aynı çekirdek kodu parçasında bulunmaktadır.
Açığın Çalışma Şekli
Epoll, bir programın aynı anda birçok dosya veya ağ bağlantısını izlenmesine olanak sağlayan standart bir Linux özelliğidir. Sunucular, ağ hizmetleri ve web tarayıcıları bunu kullanmaktadır. Basit bir şekilde devre dışı bırakılamaz.
Bad Epoll, bir “use-after-free” hatasıdır. Çekirdek içinde iki farklı bileşen aynı iç nesneyi temizlemeye çalışır; biri belleği serbest bırakırken, diğeri hala o belleğe yazım yapmaktadır. Bu kısa çakışma, bir saldırganın çekirdek belleğini bozmasına ve normal bir hesaptan kök seviyesine yükselmesine olanak tanır.
Temel sorun zamanlama ile ilgilidir. İki yolun çakıştığı pencere, sadece yaklaşık altı makine talimatı genişliğindedir, bu nedenle rastgele bir deneme çoğunlukla bu pencereye denk gelmez. Chung’un geliştirdiği sömürü, bu pencereyi genişleterek çökme olmaksızın yeniden denemeyi mümkün kılmakta ve test edilen sistemlerde kök seviyesine ulaşma başarısını yaklaşık %99 oranında sağlamaktadır.
- Chung’un açıkladığına göre, bu hata Chrome’un render alanında tetiklenebilmektedir; bu alan, hemen hemen tüm diğer çekirdek açıklarını bloke etmektedir.
- Ayrıca Android’e ulaşma potansiyeline sahip, bu da çoğu Linux ayrıcalık hatasının erişemediği bir durumdur.
Chung, hatayı Google’ın kernelCTF programına sıfır gün (zero-day) olarak bildirmiştir ve tam teknik detaylar, onun publik yazımında mevcuttur. Bu yazı itibarıyla gerçek saldırılarda kullanıldığına dair bir işaret yoktur; CISA’nın Bilinen Sömürülen Açıklar listesinde yer almamakta ve mevcut olan tek işlevsel kod, kernelCTF için bir kanıt konseptidir. Android için bir sömürü versiyonu hâlâ ilerleme aşamasındadır.
Etkilenen Sistemler
Her iki hata, 2023 yılına ait epoll kodundaki bir değişikliğe dayanmaktadır. Chung, Mythos’un bulduğu ilk hatayı CVE-2026-43074 olarak takip ettiğini ve düzeltmenin 2026 yılı başında geldiğini bildirmiştir.
Ayrıca, Anthropic, Mythos’un Linux çekirdek ayrıcalık artırma hatalarını bulduğunu belirtmiştir, ancak bu çalışmayı Bad Epoll ile kamuya bağlantılandırmamıştır. İlk hatanın bulunması önemli bir sonuçtur, çünkü yarış koşulu hataları genellikle tespit edilmesi zordur.
Açık, düzeltildiğinde, Bad Epoll’in bellek hatası genellikle KASAN, çekirdek için ana hata dedektörü tarafından tespit edilmez. Bu nedenle, sorun olduğu yönünde bir belirti yoktur.
Epoll kapatılamaz, bu nedenle bir çözüm yoktur. Yukarı akışta a6dc643c6931 numaralı güncellemeyi uygulayın veya dağıtımınızın geri gönderimini yükleyin. 6.4 veya daha yenisi üzerine inşa edilmiş çekirdekler etkilidir, aksi takdirde düzeltme uygulanmamışsa etkilenmezler.
Daha eski 6.1 tabanlı çekirdekler, örneğin Pixel 8 gibi bazı Android telefonlar etkilenmez, çünkü bu hata 6.4 sürümünde ortaya çıkmıştır.
Linux Çekirdeği İçin Kötü Bir Yıl
Bad Epoll, Android’i kök erişimi sağlamak için kullanılan bilinen çekirdek hatalarının bir uzantısıdır ve daha önce Bad Binder, Bad IO_uring ve Bad Spin gibi isimlerle tanımlanan diğer hatalarla aynı kategoridedir.
Ayrıca, Linux ayrıcalık hataları için yoğun bir dönemde yapılmış bir keşif olarak öne çıkmakta; ancak çoğu son hata farklı şekillerde çalışmaktadır. Copy Fail (CVE-2026-31431) Nisan ayında ortaya çıkmış ve CISA’nın Bilinen Sömürülen Açıklar listesine alınmıştır. Dirty Frag serisi, Fragnesia, DirtyClone ve pedit COW’dan sonra gelişmiştir.
Her ikisi de Dirty Pipe (2022) gibi deterministik sayfa önbellek yazma hatalarıdır ve kazanılması gereken bir yarış yoktur; bu nedenle çalıştırılması çok daha güvenilirdir. Bad Epoll, kazanılması gereken daha eski ve zor bir türdür: Dirty Cow (2016) gibi.
Pek çok kişi, AI destekli araştırma firması Bynario’nun tespit ettiği ayrı bir hata olan CVE-2026-31694 için de bir kamu kanıtı konsepti yayımlamıştır. FUSE erişimi olan yerel bir kullanıcı, çekirdeğe kötü amaçlı bir dosya sistemi besleyebilir ve belleği bozabilir. Bu, kurulum durumuna bağlı olarak kök erişimi, veri sızıntıları veya sistem çökmesine neden olabilir.
Özellikle konteynerler ve kullanıcı ad alanları içinde bu erişim yaygın olduğundan, bu durum daha çok bir sunucu ve konteyner riski olarak öne çıkmaktadır.
Sonuç
Tehdit altında bulunan sistemlerin güncellenmesi hayati öneme sahiptir. Bad Epoll açığını etkisiz hale getirmek için, yukarıda belirtilen düzeltmeleri hızlı bir şekilde uygulayın. Açığın etkilediği sistemlerde port kapatma veya başka bir güvenlik önlemi almak, saldırganlar için geçiş yollarını engelleyebilir. Her zaman güncel ve güvenli yazılımlar kullanmak, olası saldırılara karşı en etkili korunmadır.


