Un exploit per il kernel di Linux e Android, denominato Bad Epoll (CVE-2026-46242), ha mostrato una percentuale di successo del 99% secondo il ricercatore Jaeyoung Jeong. La vulnerabilità è stata segnalata e colpisce il sottosistema epoll, utilizzato per monitorare file e connessioni di rete.
Nel kernel Linux è stata trovata una nuova vulnerabilità che trasforma un utente normale in root e può colpire non solo server e workstation. Si tratta di un raro bug in grado di effettuare l’escalation a root anche su Android.
Il bug si chiama BadEpoll ed è numerato CVE-2026-46242. Il ricercatore Jaeyoung Jeong ha trovato il bug nel sottosistema epoll e ha compilato un exploit funzionante e ha segnalato la vulnerabilità al programma kernelCTF di Google come zero-day.
Epoll in Linux, aiuta i programmi a monitorare più file, socket e connessioni di rete contemporaneamente. Questo meccanismo viene utilizzato da server, servizi di rete, browser e altri componenti di base dei sistemi Linux. Non esiste un modo per disabilitare epoll senza interrompere funzioni importanti, quindi non esiste una soluzione semplice per gli amministratori.
Advertising
L’unica opzione di protezione affidabile è installare una patch del kernel o un backport dalla distribuzione.
Bad Epoll appartiene alla classe use-after-free e si verifica a causa di una competizione nel codice ep_remove. In una forma semplificata, due parti del kernel puliscono contemporaneamente lo stesso oggetto interno. Una parte libera la memoria e l’altra continua a lavorare con l’area liberata. Una collisione così breve consente a un utente malintenzionato di corrompere la memoria del kernel, ottenere letture di posizioni di memoria arbitrarie e quindi dirottare il controllo tramite la catena ROP per aprire una shell root.
L’affidabilità dell’attacco aggiunge un pericolo particolare.
La finestra di gara richiede circa sei istruzioni, ma l’exploit di Jeong prolunga il momento giusto e riprova senza mandare in crash il kernel. Sugli obiettivi dei test kernelCTF, il ricercatore ha ottenuto circa il 99% di esecuzioni riuscite per il kernel LTS e il 98% per Google COS.
L’exploit Android è ancora in lavorazione, ma il ricercatore stesso indica che i dispositivi che eseguono kernel 6.6 e versioni successive potrebbero essere adatti per ulteriori attacchi, mentre Pixel 8 e altri dispositivi che eseguono kernel 6.1 non sono interessati.
Advertising
La storia di Bad Epoll si distingue per un altro dettaglio. La stessa area di codice era già arrivata all’attenzione del modello Anthropic Mythos, che ha trovato un altro bug monitorato con il codice CVE-2026-43074. Secondo Chon, il modello ha mancato Bad Epoll, probabilmente a causa della finestra temporale troppo stretta e delle deboli tracce di un errore di runtime.
Dopo che la prima vulnerabilità è stata risolta, l’errore Bad Epoll di solito non si attivava in KASAN, il principale rilevatore di errori di memoria nel kernel Linux, quindi il runtime non dava un chiaro segnale del problema.
Il codice vulnerabile è entrato nel kernel l’8 aprile 2023 insieme al commit 58c9b016e128 e la correzione corretta è apparsa il 24 aprile 2026 nel commit a6dc643c6931. Gli amministratori dovrebbero controllare gli aggiornamenti specifici delle proprie distribuzioni perché lo stato del pacchetto varia anche all’interno dello stesso ecosistema. Ad esempio, il tracker Debian contrassegna alcuni rami come fissi o non interessati, mentre altri sono ancora a rischio.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.
Aree di competenza:Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.