Le chercheur en sécurité **Hyunwoo Kim** a révélé l'exploit **Dirty Frag** plus tôt aujourd'hui, publiant une preuve de concept (PoC). Cette escalade de privilèges locale a été introduite il y a environ neuf ans dans l'interface de l'algorithme cryptographique algif_aead du noyau Linux. **Comment fonctionne Dirty Frag** **Dirty Frag** exploite le champ de fragmentation d'une structure de données du noyau en chaînant deux failles distinctes du noyau : la vulnérabilité xfrm-ESP Page-Cache Write et la vulnérabilité RxRPC Page-Cache Write. Cela permet aux attaquants de modifier des fichiers système protégés en mémoire sans autorisation, réalisant ainsi une escalade de privilèges. Selon Kim, **Dirty Frag** appartient à la même classe que les vulnérabilités Linux **Dirty Pipe** et **Copy Fail**, mais exploite une structure de données du noyau différente. "Comme avec la vulnérabilité Copy Fail précédente, Dirty Frag permet également une escalade de privilèges root immédiate sur toutes les distributions majeures, et elle enchaîne deux vulnérabilités distinctes", a déclaré Kim. Il a ajouté : "Dirty Frag est un cas qui étend la classe de bugs à laquelle appartiennent Dirty Pipe et Copy Fail. Parce qu'il s'agit d'un bug logique déterministe qui ne dépend pas d'une fenêtre temporelle, aucune condition de concurrence n'est requise, le noyau ne panique pas lorsque l'exploit échoue, et le taux de réussite est très élevé." **Distributions affectées** Cette escalade de privilèges du noyau affecte un large éventail de distributions Linux, notamment Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed et Fedora. Des correctifs ne sont pas encore disponibles pour ces distributions.  *Démo de Dirty Frag (Hyunwoo Kim)* Kim a publié la documentation complète de **Dirty Frag** et un exploit PoC après la rupture d'un embargo sur la divulgation publique complète le 7 mai 2026, lorsqu'une tierce partie non liée a publié indépendamment l'exploit. "Étant donné que l'embargo a été rompu, aucun correctif ni CVE n'existe. Après consultation avec les mainteneurs sur [email protected] et à leur demande, ce document sur Dirty Frag est publié", a déclaré Kim. **Atténuation** Pour sécuriser les systèmes contre les attaques, les utilisateurs Linux peuvent utiliser la commande suivante pour supprimer les modules du noyau vulnérables esp4, esp6 et rxrpc : ```sh sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true" ``` *Note : Cela interrompra les VPN IPsec et les systèmes de fichiers réseau distribués AFS.* **Exploitation de Copy Fail** Cette nouvelle divulgation de zero-day intervient alors que les mainteneurs de distributions Linux déploient encore des correctifs pour **Copy Fail**, une autre vulnérabilité d'escalade de privilèges root actuellement exploitée dans des attaques. La **Cybersecurity and Infrastructure Security Agency (CISA)** a ajouté **Copy Fail** à son catalogue de vulnérabilités connues exploitées (KEV) vendredi dernier, ordonnant aux agences fédérales de sécuriser leurs appareils Linux dans un délai de deux semaines, d'ici le 15 mai. "Ce type de vulnérabilité est un vecteur d'attaque fréquent pour les acteurs malveillants et pose des risques importants pour l'entreprise fédérale", a averti l'agence de cybersécurité américaine à l'époque. "Appliquez les atténuations conformément aux instructions du fournisseur, suivez les directives BOD 22-01 applicables aux services cloud, ou cessez d'utiliser le produit si les atténuations ne sont pas disponibles." En avril, les distributions Linux ont corrigé une autre vulnérabilité d'escalade de privilèges root (baptisée Pack2TheRoot) qui avait été découverte une décennie après son introduction dans le démon **PackageKit**. *Mise à jour le 8 mai, 09:58 EDT : Les deux vulnérabilités d'écriture de page cache chaînées par Dirty Frag sont désormais suivies sous les identifiants CVE suivants : celle de xfrm-ESP s'est vu attribuer **CVE-2026-43284**, et celle de RxRPC est maintenant **CVE-2026-43500**.*  ## 99% de ce que Mythos a trouvé n'est toujours pas corrigé. L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du rendu et du système d'exploitation. Une vague de nouveaux exploits est à venir. Lors du Sommet de validation autonome (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la boucle de la remédiation. [Réservez votre place](https://hubs.li/Q04crVgD0)