Cybersécurité6 juillet 2026· via Security Affairs

Utilisateurs de Linux et Android invités à corriger une faille critique

Utilisateurs de Linux et Android invités à corriger une faille critique

Image : Security Affairs

Une faille récemment découverte dans le noyau Linux pourrait permettre à des attaquants d'obtenir un accès administrateur complet sur les systèmes concernés et les appareils Android. Cette vulnérabilité, référencée sous le nom CVE-2026-46242 et baptisée Bad Epoll, affecte le sous-système epoll, un composant central utilisé par les serveurs, navigateurs et applications pour gérer efficacement les connexions réseau et les événements de fichiers.

Une condition de course aux conséquences graves

La faille repose sur un problème d'utilisation après libération (use-after-free), où deux fils d'exécution du noyau tentent de libérer simultanément le même objet interne. Un fil libère la mémoire tandis que l'autre continue de l'utiliser, créant une brève opportunité de corrompre la mémoire du noyau et d'escalader les privilèges. Malgré une fenêtre de timing extrêmement étroite—seulement six instructions CPU—le chercheur en sécurité Jaeyoung Chung a développé un exploit fiable qui réussit dans environ 99 % des cas sur les systèmes testés.

L'exploitation dépasse Linux pour toucher Android

Cette vulnérabilité est particulièrement préoccupante car elle peut être déclenchée depuis des environnements restreints comme le sandbox du moteur de rendu de Chrome, facilitant ainsi l'exploitation par des attaquants. La faille affecte non seulement les postes de travail et serveurs Linux, mais aussi les appareils Android, ce qui augmente les enjeux pour les utilisateurs mobiles et les développeurs. Des correctifs de sécurité sont déjà disponibles, et les utilisateurs sont fortement encouragés à les installer sans délai.

L'IA en découvre une, en rate une autre

Il est intéressant de noter que cette faille est liée à une vulnérabilité précédente détectée par le modèle d'IA Mythos d'Anthropic dans la même section du code du noyau. Bien que l'IA ait identifié une faille critique, elle a manqué ce problème connexe, découvert ultérieurement manuellement. Cette découverte met en lumière à la fois le potentiel et les limites de la recherche de vulnérabilités assistée par IA pour détecter des bugs complexes dans le noyau.


Source : Security Affairs. Synthèse éditoriale assistée par IA — TechnoExpress.

Lire la source originale sur Security Affairs →

← Retour à l'accueil