Une nouvelle vulnérabilité critique affectant le noyau Linux a été rendue publique. Identifiée sous le nom de « Bad Epoll » et référencée CVE-2026-46242, cette faille de sécurité permet à un utilisateur local dépourvu de privilèges d’obtenir un accès complet en mode root sur un système cible. La brèche concerne aussi bien les distributions Linux classiques que le système d’exploitation mobile Android, qui repose sur ce même noyau.

Le défaut se situe dans le mécanisme epoll, un composant essentiel du noyau permettant à un programme de surveiller un grand nombre de descripteurs de fichiers ou de connexions réseau simultanément. Ce mécanisme est utilisé par de nombreux logiciels, notamment les services réseau et les navigateurs web, ce qui rend sa désactivation impossible sans causer de graves dysfonctionnements.

Une fenêtre d’exploitation extrêmement étroite

Bad Epoll est une faille de type use-after-free (utilisation de la mémoire après libération) provoquée par une condition de concurrence (race condition). Concrètement, lors du démontage d’un objet epoll, deux opérations du noyau interfèrent : l’une libère une structure mémoire pendant que l’autre continue de l’utiliser. Cette situation crée une fenêtre d’exploitation d’environ six instructions machine, durant laquelle l’attaquant peut agir.

Le chercheur en sécurité Jaeyoung Chung est parvenu à mettre au point un exploit qui élargit artificiellement cette fenêtre et répète la tentative en boucle sans faire planter le système, garantissant un taux de réussite élevé. La corruption initiale, limitée à quelques octets écrits au mauvais endroit, est transformée en une prise de contrôle complète de la mémoire du noyau, permettant ainsi l’élévation de privilèges.

Un impact étendu et un correctif attendu

La vulnérabilité affecte tous les systèmes utilisant le noyau Linux, y compris Android, qui en est un dérivé. Les postes de travail, les serveurs et les appareils mobiles sont donc potentiellement exposés à des attaques locales menant à un accès root.

Un correctif de sécurité est en cours de déploiement par les mainteneurs du noyau Linux. Les administrateurs système et les utilisateurs sont invités à appliquer sans délai les mises à jour proposées par leur distribution ou leur fabricant d’appareils Android. Aucune solution de contournement simple n’existe, car le mécanisme epoll ne peut être désactivé sans briser le fonctionnement du système.

Contexte de la découverte

La découverte de Bad Epoll intervient alors que des outils d’intelligence artificielle, comme le système Mythos, avaient été déployés pour détecter des vulnérabilités similaires dans le noyau. Selon les informations disponibles, Mythos avait bien identifié une faille jumelle, mais n’avait pas repéré celle-ci, ce qui souligne les limites des approches automatisées face à des bugs de concurrence particulièrement subtils.