CVE-2026-31431, affettuosamente soprannominata "Copy Fail," è una vulnerabilità critica del kernel Linux che si è nascosta nell'ombra dal 2017 e ora riceve finalmente l'attenzione di sicurezza che merita. Perché niente dice "sicuro" come un bug di otto anni.

Analizziamola in termini comprensibili anche per chi non usa Linux. Immagina che la memoria del tuo computer sia una lavagna dove un insegnante tiene traccia dei tuoi voti in tempo reale. Gli studenti non possono usare gessetti o cancellini, quindi non possono barare. Copy Fail è come uno studente furbo che riesce a mettere le mani sia su un gessetto che su un cancellino e cambia solo il suo voto mentre nessuno guarda. Solo che in questo caso, il "voto" è la sicurezza del tuo sistema.

In sostanza, Copy Fail è un difetto nel kernel Linux che gestisce la sicurezza per certi tipi di dati. Un attaccante con solo accesso di base al sistema può alterare un dato cruciale nella RAM del computer. Una volta modificato, il dato alterato inganna il sistema facendogli credere che l'attaccante sia l'utente root, dandogli il controllo completo. Pensalo come un bidello che prende la targa del capo e la appende al muro vicino al suo armadietto, convincendo tutti di essere il capo.

A differenza di molte vulnerabilità Linux che richiedono tempistiche precise o sequenze complesse, Copy Fail è rinfrescante semplice. Abusa dell'interfaccia socket AF_ALG e della chiamata di sistema splice() per sovrascrivere solo 4 byte nella cache di pagina del kernel per qualsiasi file leggibile. Da lì, gli attaccanti possono modificare i binari setuid - come il comando su - che sono in memoria per ottenere accesso root. Nessun tentativo dipendente dal tempo; è un exploit stabile e lineare.

Copy Fail colpisce tutti i kernel Linux dalla versione 4.14 alla 6.19.12. Esatto: kernel dal 2017 ad oggi. Perché limitare il danno a pochi anni?

Secondo il Xint Code Research Team, "Questa scoperta è stata assistita dall'IA, ma è iniziata con un'intuizione del ricercatore Theori Taeyang Lee, che stava studiando come il sottosistema crittografico Linux interagisce con i dati supportati dalla cache di pagina." Quindi, un umano ha avuto l'idea iniziale, e l'IA ha aiutato a scalare la ricerca. Perché ovviamente l'IA è coinvolta.

La soluzione è semplice: aggiorna il kernel all'ultima versione. Per verificare se sei protetto, esegui questo comando:

```

l kmod grep -qE '^algif_aead ' /proc/modules && echo "Il modulo interessato è caricato" || echo "Il modulo interessato NON è caricato"

```

Se vedi "Il modulo interessato NON è caricato", sei a posto. Se vedi "Il modulo interessato è caricato", aggiorna il sistema. Se anche dopo l'aggiornamento è ancora caricato, disabilita il modulo algif_aead con:

```

echo "install algif_aead /bin/false" > /etc/modprobe.d/disable-algif.conf

```

Ora sai abbastanza su Copy Fail per rimanere protetto. Prego.