新型“Bad Epoll” 0Day漏洞可获取Linux服务器与Android设备的Root权限

新披露的Linux内核漏洞Bad Epoll(CVE-2026-46242)允许无特权的普通用户完全控制机器并获取root权限。该漏洞影响Linux桌面系统、服务器及Android设备,目前修复补丁已发布。

Bad Epoll位于内核代码的同一小段区域,Anthropic公司最强大的AI模型Mythos最近在该区域发现了另一个不同漏洞。AI成功识别出一个漏洞却遗漏了这个。研究员Jaeyoung Chung发现了该漏洞并构建了有效攻击方案。

漏洞原理分析

Epoll是Linux的标准功能,允许程序同时监视多个文件或网络连接。服务器、网络服务和网页浏览器都依赖此功能,无法简单关闭。

Bad Epoll属于"释放后使用"(use-after-free)漏洞。内核的两个部分试图同时清理同一内部对象,导致一方释放内存时另一方仍在写入。这种短暂冲突使攻击者能够破坏内核内存,进而从普通账户提升至root权限。

关键在于时间窗口:两条执行路径冲突的窗口仅约6条机器指令宽度,随机尝试几乎不可能命中。Chung的漏洞利用方案扩大了该窗口并实现无崩溃重试,在测试系统上实现约99%的root提权成功率。

该漏洞具有两大危险特性:据其描述,可从Chrome渲染器沙箱内部触发(其他内核漏洞大多被沙箱阻挡),且能影响Android系统(多数Linux提权漏洞无法做到)。

Chung已将该0Day漏洞提交至Google的kernelCTF项目,完整技术细节见其公开报告。目前尚无实际攻击迹象:截至发稿,该漏洞未列入CISA已知被利用漏洞清单,唯一可用代码是kernelCTF的概念验证(PoC)。Android版漏洞利用仍在开发中。

漏洞溯源与修复

这两个漏洞均源于2023年对epoll代码的同一处修改。Chung表示Mythos发现了第一个漏洞(现编号CVE-2026-43074),其修复补丁已于2026年初发布。Anthropic公司曾宣称Mythos发现过Linux内核提权漏洞,但未公开其与Bad Epoll的关联。发现首个漏洞确属实质成果,因为竞态条件漏洞素来难以察觉。

为何同一AI会遗漏兄弟漏洞?Chung提出两个可能原因并强调无人能确定:

  • 时间窗口极小,即使盯着代码也难以想象确切事件序列

  • 运行时几乎不留痕迹

首个漏洞修复后,Bad Epoll的内存错误通常不会触发内核主要错误检测器KASAN,因此无任何异常标志。由于epoll无法关闭,目前唯一解决方案是应用上游提交a6dc643c6931,或等待发行版发布反向移植补丁。基于6.4及以上版本的内核均受影响(已修复版本除外),而基于旧版6.1的内核(包括Pixel 8等Android手机)不受影响,因该漏洞随6.4版本引入。

Linux内核的多事之秋

Bad Epoll加入了著名的Android提权漏洞家族,此前已有Bad Binder、Bad IO_uring和Bad Spin等案例。这也正值Linux权限漏洞频发期,不过近期多数漏洞原理不同。4月出现的Copy Fail(CVE-2026-31431)已列入CISA已知被利用漏洞清单,随后又出现Dirty Frag链、Fragnesia、DirtyClone和pedit COW等漏洞。

这些都属于确定性页面缓存写入漏洞(如2022年的Dirty Pipe),无需竞态条件,因此运行更可靠。Bad Epoll则属于更古老、更棘手的类型:必须赢得竞态(如2016年的Dirty Cow)。

AI驱动的研究公司Bynario还在内核FUSE文件系统代码中发现独立漏洞(CVE-2026-31694),其PoC已公开。具有FUSE访问权限的本地用户可向内核提供恶意文件系统破坏内存。根据配置不同,可能导致root访问、数据泄露或系统崩溃。由于容器和用户命名空间普遍具有此访问权限,该漏洞主要威胁服务器和容器而非手机。

Bynario并非孤例。Mythos还发现并利用了FreeBSD NFS服务器中存在17年的远程代码执行漏洞(CVE-2026-4747),Anthropic研究人员也使用其模型发现了其他内核漏洞。

Bad Epoll提供了有益对照:它表明竞态条件在每个阶段都极具挑战——顶尖AI也难以发现;修复困难(首个补丁未彻底解决问题,正确修复耗时约两月);利用难度大(仅6条指令宽的时间窗口)。目前,AI遗漏的漏洞仍需人工捕捉。