Bad Epoll: l’IA di Anthropic non ha individuato questa vulnerabilità fondamentale

Il ricercatore di sicurezza Jaeyoung Chung ha reso nota una vulnerabilità del kernel Linux che consente a un normale utente senza privilegi di ottenere il pieno controllo del sistema. La vulnerabilità, denominata “Bad Epoll” e identificata ufficialmente con il codice CVE-2026-46242, interessa i desktop Linux, i server e i dispositivi Android. È disponibile una patch. Il caso è particolarmente degno di nota a causa di un aneddoto: un’intelligenza artificiale aveva già esaminato il codice interessato senza individuare questa vulnerabilità.
Cosa fa Bad Epoll
La vulnerabilità si trova nel sottosistema epoll, una funzione fondamentale che consente ai programmi di monitorare contemporaneamente numerosi file e connessioni di rete. Server, servizi di rete e browser lo utilizzano costantemente e non è possibile disattivarlo. «Bad Epoll» è un bug di tipo «use-after-free»: due percorsi del kernel ripuliscono lo stesso oggetto interno contemporaneamente; uno libera la memoria mentre l’altro sta ancora scrivendo su di essa. Questa breve collisione è sufficiente per manipolare la memoria del kernel e ottenere l’escalation di privilegi da un account normale a quello di root.
Il punto cruciale è la tempistica. La finestra temporale in cui entrambi i percorsi entrano in collisione dura solo circa sei istruzioni macchina. L’exploit di Chung allarga tale finestra e continua a tentare l’attacco senza causare un crash fino a quando non ottiene i privilegi di root sui sistemi testati in circa il 99% dei casi. Due dettagli rendono questa vulnerabilità più grave rispetto ai tipici bug del kernel: secondo Chung, può essere innescata dalla sandbox del renderer di Chrome e si estende all’ Android, cosa che la maggior parte delle vulnerabilità di Linux non fa.
Perché l’IA non ha individuato la vulnerabilità
?
Entrambe le criticità risalgono a un’unica modifica al codice risalente al 2023, in sole 2.500 righe di codice epoll. Il modello di IA di Anthropic, Mythos, ha individuato la prima delle due condizioni di competizione e l’ha segnalata come CVE-2026-43074. Si è trattato di un vero successo, poiché bug di tipo «race» come questi sono considerati difficili da individuare. Il modello non ha individuato il secondo, denominato «Bad Epoll». Alla fine, è stato il ricercatore Jaeyoung Chung a individuarlo e a sviluppare un attacco funzionante a suo carico.
Chung fornisce due possibili ragioni per spiegare tale punto cieco, senza però sbilanciarsi a favore di nessuna delle due. La finestra temporale è talmente ridotta che è difficile immaginare la sequenza esatta anche osservando il codice. Inoltre, dopo che la prima vulnerabilità era stata corretta, «Bad Epoll» di solito non attivava più il rilevatore di errori di memoria KASAN, lasciando il modello privo di tracce di esecuzione. Il caso evidenzia entrambi i lati della questione: l’IA è in grado di individuare bug complessi nel kernel, ma può comunque fallire in presenza di sottili condizioni di competizione.
Chi è interessato e cosa fare
Sono interessate le versioni del kernel dalla 6.4 in poi, qualora la correzione non fosse ancora stata applicata. I sistemi più vecchi basati su Linux 6.1 sono al sicuro, compresi alcuni dispositivi “ Android ” come il Pixel 8, poiché il codice difettoso è stato aggiunto solo dopo quel ramo. Secondo Chung, è ancora in fase di sviluppo un exploit “ Android ”. Vi è qualche motivo di rassicurazione riguardo al rischio immediato: finora non vi sono indicazioni di attacchi in circolazione e l’unico codice funzionante è il proof of concept del programma kernelCTF di Google. Altro aspetto importante: l’autore dell’attacco deve già disporre di accesso locale al dispositivo, poiché la vulnerabilità non può essere attivata da remoto.
Gli utenti che applicano la patch manualmente dovrebbero utilizzare il commit upstream a6dc643c6931. Tutti gli altri dovrebbero attendere il backport della propria distribuzione e installarlo tempestivamente. Poiché epoll non può essere disabilitato, non esiste alcuna soluzione alternativa; solo l’aggiornamento risolve il problema.
Fonte/i
I nostri Top 10
» Top 10 Portatili Multimedia
» Top 10 Portatili Gaming
» Top 10 Portatili Gaming Leggeri
» Top 10 Portatili da Ufficio e Business economici
» Top 10 Portatili Premium da Ufficio/Business
» Top 10 Portatili sotto i 300 Euro
» Top 10 Portatili sotto i 500 Euro
» Top 10 dei Portatili Workstation
» Top 10 Subnotebooks
» Top 10 Ultrabooks
» Top 10 Convertibili
» Top 10 Tablets
» Top 10 Tablets Windows
» Top 10 Smartphones






