Fehler 'Bad Epoll' im Linux-Kernel gewährt Root-Zugriff für beliebige nicht privilegierte Benutzer; Patch wartet auf Distributionen

CVE-2026-46242, 'Bad Epoll', ermöglicht es jedem lokalen nicht privilegierten Konto, Root-Zugriff auf Linux- und Android-Server mit Kernel 6.4+ zu erhalten. Der Fix existiert seit April; die meisten Distributionen haben den Backport noch nicht veröffentlicht.
CVE-2026-46242, von dem Forscher Jaeyoung Chung vom CompSec Lab der Nationalen Universität Seoul (Betreuer: Byoungyoung Lee) als "Bad Epoll" benannt, verwandelt jedes lokale nicht privilegierte Konto in Root-Zugriff auf Hosts mit Linux-Kernel 6.4 oder höher. Die Zuverlässigkeit des von Chung entwickelten Exploits betrug bei den getesteten Zielen 99%, obwohl das Zeitfenster nur aus sechs Anweisungen bestand.
Wie der Fehler funktioniert
Das betroffeneSubsystem ist epoll, der Mechanismus, den Netzwerkdienste, Webbrowser und praktisch jeder moderne Linux-Server verwendet, um mehrere Dateideskriptoren effizient zu überwachen. Der Fehler ist eine Bedingung zur Renn-Geschwindigkeit vom Typ use-after-free: Wenn zwei epoll-Deskriptoren, die so konfiguriert sind, dass sie sich gegenseitig überwachen, fast gleichzeitig geschlossen werden, gibt der Kernel einen Speicherbereich frei, während ein anderer Thread noch darauf schreibt. Chung verwandelte diesen inkonsistenten Zustand in willkürliche Lese- und Schreiboperationen im Kernel-Speicher über /proc/self/fdinfo und führte dann eine ROP-Kette aus, um Privilegien zu erhöhen.
Der Exploit kann auch von innerhalb des Renderers von Chrome im Sandbox-Modus angestoßen werden. In diesem Szenario verkettet ein Angreifer mit Ausführungscode im Renderer den Fehler, um aus der Sandbox auszubrechen und die vollständige Kontrolle über die Hostmaschine zu übernehmen, was eine Kompromittierungskette plausibel macht, die mit bösartigem JavaScript beginnt.
Patch seit April im Mainline; die meisten Distributionen ohne Backport
Der Fix wurde am 24. April 2026 in die Mainline des Kernels integriert, im Commit a6dc643c6931, blieb jedoch 70 Tage ohne öffentliche Ankündigung. Die offiziellen Pakete von Ubuntu LTS, Debian Stable und Red Hat Enterprise Linux haben den Backport bis zur Veröffentlichung dieses Artikels noch nicht bereitgestellt. Android-Geräte Pixel 10 und Modelle mit Kernel 6.6 oder höher sind anfällig und warten auf das monatliche Sicherheitsupdate von Google; Geräte mit Kernel 6.1, wie das Pixel 8, fallen aus dem Geltungsbereich.
Der vollständige Proof of Concept, mit öffentlichem Repository auf github.com/J-jaeyoung/bad-epoll, wurde in den Builds lts-6.12.67 und cos-121-18867.294.100 validiert.
Der KI-Auditor, der die Hälfte richtig hatte
Der gleiche Abschnitt von 2.500 Zeilen des epoll-Subsystems, in dem der Fehler verborgen ist, wurde während eines Sicherheitsaudit-Übungsprozesses vom Mythos-Modell von Anthropic überprüft. Die KI identifizierte eine angrenzende Rennbedingung, katalogisiert als CVE-2026-43074, was bemerkenswert ist, da Rennbedingungen zu den Bugs gehören, die selbst für erfahrene Auditoren am schwierigsten zu lokalisieren sind. Der Fehler, den Chung jetzt veröffentlicht, ging jedoch durch die Lappen.
Der Vorfall zeigt eine klare Grenze der Sprachmodelle als Sicherheitsauditoren auf: Sie decken große Codeflächen in kurzer Zeit ab, tendieren aber dazu, angrenzende Varianten derselben Fehlerklasse zu übersehen, wenn der Rennkontext im Überprüfungsfenster nicht vollständig klar ist. Anthropic hatte bis zum Abschluss dieses Artikels keine Stellungnahme zu dem Ergebnis abgegeben.
Globale Einblicke: Lieferserver und Android-Flotten
In den Vereinigten Staaten betreiben die wichtigsten Anbieter von Cloud-Infrastruktur maßgeschneiderte Linux-Distributionen auf Basis von Kernels der Serie 6.x. Amazon und Google haben dringend interne Updates für ihre eigenen Flotten bereitgestellt, gemäß Sicherheitsmitteilungen an Partner. Die von den Kunden verwalteten Instanzen hängen von Maßnahmen der eigenen Infrastrukturteams ab, ohne dass der Anbieter Fristen auferlegt.
In Indien, wo TCS, Infosys und Wipro über 1,3 Millionen Mitarbeiter beschäftigen, die auf eigenen Linux-Rechenzentrumsfarmen arbeiten (hauptsächlich auf Red Hat und Ubuntu basierend), hat jeder Benutzer mit gültigen Anmeldedaten auf einer anfälligen Maschine einen Vektor für die Erhöhung von Privilegien, solange der Backport nicht angewendet wird. Dies ist ein Risiko interner Herkunft: Netzwerkperimeterkontrollen mindern nicht das Problem.
In Brasilien hat Android über 90% der aktiven Smartphone-Basis. Kernels 6.6 haben bereits den Weg zu gewerblichen Einsteiger- und Mittelklassegeräten gefunden. Die Exposition von unternehmenseigenen mobilen Flotten hängt davon ab, wie schnell die lokalen Hersteller die monatlichen Updates von Google anwenden.
Was jetzt zu tun ist
Die Minderung ist kein Konfigurationsschalter: es ist der korrigierte Kernel. Infrastrukturteams sollten alle Hosts mit Kernel 6.4 oder höher über uname -r identifizieren, überprüfen, ob die Distribution den Backport des Commits a6dc643c6931 veröffentlicht hat, und Umgebungen mit gemeinsam genutztem CI/CD und Servern, die für externe Entwickler zugänglich sind, priorisieren, wo das Hochstufen eines nicht privilegierten Benutzers größere betriebliche Auswirkungen hat. Für unternehmenseigene Android-Flotten ist das Sicherheitsupdate von Google im Juli obligatorisch, sobald es vom Gerätehersteller verfügbar ist.
Der öffentliche PoC ist seit dem 4. Juli aktiv; das Zeitfenster ohne Patch ist keine theoretische Exposition.