Коротко: 6 июля 2026 года исследователь раскрыл уязвимость Bad Epoll (CVE-2026-46242) в ядре Linux: обычная программа без прав может получить полный доступ root. Баг затрагивает серверы, ПК и Android-смартфоны на уязвимых версиях ядра. В «дикой среде» его пока не эксплуатируют, но демонстрационный код уже опубликован. Главная защита — обновить систему.
Что произошло
6 июля 2026 года исследователь Джэён Чон (Jaeyoung Chung) раскрыл уязвимость в подсистеме epoll ядра Linux, получившую имя Bad Epoll и идентификатор CVE-2026-46242. Это ошибка типа «состояние гонки» (use-after-free): два потока ядра почти одновременно освобождают один и тот же внутренний объект памяти, а затем один из них продолжает им пользоваться. В этот краткий момент память можно повредить и поднять свои привилегии до root — полного контроля над устройством.
Уязвимы ядра Linux, основанные на ветке 6.4 и новее; более старые LTS-ядра (например, 6.1) не затронуты. Поскольку на ядре Linux работают не только серверы и ПК, но и смартфоны на Android, проблема касается и мобильных устройств. Как устроена сетевая приватность и почему обновления так важны, мы разбираем в нашем блоге.
Опасно ли это для моего телефона?
Важно понимать ключевое ограничение: Bad Epoll — это локальная уязвимость, а не удалённая. Чтобы ею воспользоваться, злоумышленнику нужно уже выполнять код на вашем устройстве — например, через вредоносное или заражённое приложение. Сам по себе баг не позволяет взломать телефон «по воздуху» через Wi-Fi или интернет.
Но именно поэтому он опасен в связке: безобидное на вид приложение, которое обычно работает в песочнице с ограниченными правами, с помощью Bad Epoll может вырваться из этих ограничений и получить root. А root — это доступ ко всему: паролям, перепискам, банковским приложениям, камере и микрофону. По данным исследователей, демонстрационный эксплойт срабатывает примерно в 99% попыток на уязвимых системах, хотя рабочая версия под Android ещё дорабатывается.
Почему баг нашли вручную, а ИИ его пропустил
У этой истории есть примечательная деталь. Bad Epoll находится в том же участке кода ядра, где ранее модель искусственного интеллекта Mythos от Anthropic обнаружила другую похожую уязвимость (CVE-2026-43074). ИИ нашёл соседнюю ошибку, но эту — пропустил; её позже отыскал человек вручную. Это наглядно показывает и возможности, и пределы автоматического поиска уязвимостей: ИИ ускоряет аудит кода, но пока не заменяет экспертов.
Что это значит для ваших данных
Пока подтверждённых атак в реальной среде нет — доступен только proof-of-concept. Но публикация демонстрационного кода обычно ускоряет появление боевых эксплойтов, поэтому окно «пока не поздно обновиться» ограничено. Наибольший риск — у тех, кто ставит приложения из неофициальных источников: именно такое приложение и может стать тем самым «плацдармом», с которого запускается атака.
Урок здесь тот же, что и в других недавних инцидентах: угроза всё чаще начинается не на стороне сервиса, а на стороне вашего устройства. Похожую логику мы разбирали в материале про ботнет из домашних устройств.
Как защититься
Обновляйте систему и приложения. Патч уже выпущен в апстриме ядра; производители телефонов раздают его в составе обновлений безопасности. Практического «обходного пути» без обновления нет — epoll слишком глубоко встроен в систему. Ставьте обновления Android и приложений сразу, как только они приходят.
Ставьте приложения только из официальных магазинов. Раз атака начинается с постороннего кода на устройстве, отказ от сомнительных APK и «взломанных» приложений закрывает самый частый вход.
Проверяйте разрешения приложений. Чем меньше лишнего софта с широкими правами, тем меньше шансов, что одно из них окажется тем самым «плацдармом».
Закройте сетевую половину приватности. Будем честны: VPN не исправит уязвимость в ядре и не заменит обновление — это разные уровни защиты. Но VPN — например, LiMP VPN — шифрует ваш трафик в недоверенных сетях и скрывает реальный IP, снижая слежку и риск того, что вредоносное приложение или ссылка вообще доберётся до вас. Как это устроено у нас — на странице возможностей.
Источники
Материал основан на публикациях Security Affairs, The Hacker News и русскоязычного Anti-Malware.ru за июль 2026 года.
