تم الكشف مؤخرًا عن خلل في نواة Linux يسمى إيبول سيء (CVE-2026-46242) يتيح للمستخدم العادي الذي ليس لديه وصول خاص التحكم الكامل في الجهاز كجذر. إنه يؤثر على أجهزة سطح المكتب والخوادم وAndroid، وتم حل المشكلة.

إيبول سيء يقع في نفس الامتداد الصغير من كود النواة حيث يوجد أقوى نموذج للذكاء الاصطناعي في Anthropic، الأساطير، تم العثور مؤخرًا على خطأ مختلف.

اكتشف الذكاء الاصطناعي عيبًا واحدًا وأخطأ في هذا العيب. اكتشفه الباحث Jaeyoung Chung وقام ببناء هجوم فعال.

كيف يعمل الخطأ

Epoll هي إحدى ميزات Linux القياسية التي تتيح للبرنامج مشاهدة العديد من الملفات أو اتصالات الشبكة في وقت واحد. تعتمد الخوادم وخدمات الشبكة ومتصفحات الويب عليها. لا يمكنك ببساطة إيقاف تشغيله.

Bad Epoll هو خطأ “الاستخدام بعد الاستخدام المجاني”. يحاول جزأان من النواة تنظيف نفس الكائن الداخلي في نفس الوقت. أحدهما يحرر الذاكرة بينما لا يزال الآخر يكتب فيها. يتيح هذا التصادم القصير للمهاجم إتلاف ذاكرة kernel، ثم الانتقال من الحساب العادي إلى الجذر.

المصيد هو التوقيت. يبلغ عرض النافذة التي يتصادم فيها المساران حوالي ستة تعليمات للآلة فقط، لذا فإن أي محاولة عشوائية لا تصل إليها أبدًا. يعمل استغلال Chung على توسيع هذه النافذة وإعادة المحاولة دون حدوث أي عطل، حيث يصل إلى الجذر في حوالي 99% من الوقت على الأنظمة التي تم اختبارها.

هناك شيئان يجعلان الأمر أكثر خطورة: من خلال حسابه، يمكن تشغيله من داخل صندوق حماية العارض في Chrome، والذي يحظر تقريبًا كل أخطاء kernel الأخرى، ويمكنه الوصول إلى Android، وهو ما لا تستطيع معظم الأخطاء في Linux الوصول إليه.

أرسل تشونغ الخلل باعتباره يوم الصفر إلى برنامج kernelCTF من Google، وتوجد التفاصيل الفنية الكاملة في كتابته العامة. ليس هناك ما يشير إلى أنه تم استخدامه في هجمات حقيقية: حتى كتابة هذه السطور، لم يكن موجودًا في قائمة الثغرات الأمنية المستغلة المعروفة الخاصة بـ CISA، وكود العمل الوحيد هو دليل مفهوم kernelCTF. ولا يزال إصدار Android من الثغرة قيد التقدم.

يعود كلا الخطأين إلى تغيير واحد في كود epoll في عام 2023. يقول تشونغ إن Mythos عثر على أول اثنين، والذي يتم تتبعه الآن باسم CVE-2026-43074، مع هبوط كامل في وقت سابق من عام 2026.

قالت Anthropic بشكل منفصل إن Mythos عثرت على أخطاء في تصعيد امتيازات Linux kernel، على الرغم من أنها لم تربط هذا العمل علنًا بـ Bad Epoll. كان العثور على الأول نتيجة حقيقية، لأنه من الصعب اكتشاف الأخطاء المتعلقة بحالة السباق.

فلماذا أغفل نفس الذكاء الاصطناعي عيب الأخوة؟ يقدم تشونغ سببين محتملين ويحرص على القول بأنه لا يمكن لأحد التأكد من ذلك.

  • أولاً، نافذة التوقيت صغيرة جدًا، لذا يصعب تصوير التسلسل الدقيق للأحداث حتى أثناء التحديق في الكود.
  • ثانيا، هناك القليل من الأدلة في وقت التشغيل.

بمجرد تصحيح الخطأ الأول، عادةً لا يؤدي خطأ ذاكرة Bad Epoll إلى تعثر KASAN، كاشف الأخطاء الرئيسي للنواة، لذلك لا يوجد شيء يشير إلى وجود خطأ ما.

لا يمكن إيقاف تشغيل Epoll، لذلك لا يوجد حل بديل. قم بتطبيق التزام المنبع a6dc643c6931، أو قم بتثبيت المنفذ الخلفي للتوزيع الخاص بك عندما يصل. تتأثر النواة المبنية على الإصدار 6.4 أو الأحدث ما لم يكن لديها الإصلاح بالفعل.

النوى الأقدم المستندة إلى 6.1، بما في ذلك بعض هواتف Android مثل Pixel 8، ليست كذلك، لأن الخطأ وصل إلى 6.4.

سنة سيئة لنواة لينكس

ينضم Bad Epoll إلى عائلة معروفة من أخطاء kernel المستخدمة في عمل روت لنظام Android، بعد إدخالات سابقة تسمى Bad Binder وBad IO_uring وBad Spin.

كما أنها تقع في منطقة مزدحمة لعيوب امتيازات Linux، على الرغم من أن معظم العيوب الحديثة تعمل بشكل مختلف. فشل النسخ (CVE-2026-31431) في أبريل وهو الآن مدرج في قائمة الثغرات الأمنية المستغلة المعروفة لدى CISA. سلسلة Dirty Frag، Fragnesia، DirtyClone، pedit COW جاءت بعدها.

كلاهما عبارة عن أخطاء حتمية في ذاكرة التخزين المؤقت والكتابة للصفحة، مثل Dirty Pipe (2022)، مع عدم وجود سباق للفوز، مما يجعل تشغيلهما أكثر موثوقية. Bad Epoll هو النوع الأقدم والأصعب: سباق عليك الفوز به، مثل Dirty Cow (2016).

ظهر أيضًا إثبات عام للمفهوم لـ CVE-2026-31694، وهو عيب منفصل في كود نظام ملفات FUSE الخاص بالنواة، والذي عثرت عليه شركة الأبحاث التي تعتمد على الذكاء الاصطناعي Bynario. يمكن لمستخدم محلي لديه حق الوصول إلى FUSE أن يغذي النواة بنظام ملفات ضار وذاكرة فاسدة.

اعتمادًا على الإعداد، قد يعني ذلك الوصول إلى الجذر، أو تسرب البيانات، أو حدوث عطل. نظرًا لأن هذا الوصول شائع في الحاويات ومساحات أسماء المستخدمين، فإنه يمثل خطرًا على الخادم والحاوية أكثر من كونه خطرًا على الهاتف.

بيناريو ليس الوحيد. عثرت Mythos أيضًا على ثغرة عمرها 17 عامًا في تنفيذ التعليمات البرمجية عن بعد واستغلتها في خادم NFS الخاص بـ FreeBSD (CVE-2026-4747)، واستخدم باحثو Anthropic نماذجها لتسليط الضوء على عيوب أخرى في kernel.

تعتبر Bad Epoll نقطة مقابلة مفيدة. إنه يوضح أن ظروف السباق صعبة في كل مرحلة: من الصعب العثور عليها، حتى بالنسبة للذكاء الاصطناعي الرائد؛ من الصعب إصلاحه، حيث أن التصحيح الأول كان قصيرًا واستغرق التصحيح الصحيح حوالي شهرين؛ ومن الصعب استغلالها، من خلال نافذة بعرض ستة تعليمات فقط. في الوقت الحالي، لا تزال الحشرة التي يمر بها الذكاء الاصطناعي هي التي يتعين على الشخص اكتشافها.

شاركها.
اترك تعليقاً