Hauptanalyse
Sicherheit & Risiko5 Min.

CVE-2026-46242 'Bad Epoll': Exploit mit 99% Zuverlässigkeit verwandelt normalen Benutzer in Root im Linux-Kernel

Centro de operações de servidores à noite com terminal exibindo saída de kernel Linux

Ein Forscher der Nationalen Universität von Seoul hat einen funktionalen Exploit für CVE-2026-46242 veröffentlicht: Jeder lokale Prozess ohne Berechtigungen kann Root in Linux-Kernels von 6.4 bis 6.12 und auf Android-Geräten erlangen.

Jaeyoung Chung, Doktorand im CompSec Lab der Nationalen Universität von Seoul, hat am Freitag, den 3. Juli, einen funktionalen Exploit für CVE-2026-46242, betitelt als "Bad Epoll", veröffentlicht. Jeder lokale Prozess ohne Berechtigungen kann zu Root aufsteigen. Kernels zwischen den Versionen 6.4 und 6.12.67 sind betroffen, was die neueste Generation von Enterprise-Linux-Distributionen und Android-Geräten weltweit abdeckt.


Was der Fehler macht und warum der Einflussbereich weit ist


CVE-2026-46242 ist ein Use-After-Free-Race-Condition im Epoll-Subsystem des Kernels. Das Epoll koordiniert I/O-Events mit hoher Leistung und ist in praktisch jedem Webserver, Nachrichtenbroker und der Datenbank unter Linux vorhanden, wodurch der verletzliche Code ständig in fast allen modernen Linux-Infrastrukturen aktiv ist.


Der Fehler tritt auf, wenn zwei Epoll-Dateideskriptoren einander überwachen und beide nahezu gleichzeitig geschlossen werden: Der Kernel gibt den Speicher eines Objekts frei, während er noch auf das andere schreibt, was den internen Speicher korrumpiert. Das Fenster der Race-Condition hat nur sechs Instruktionsbreiten. Chung hat vier Epoll-Objekte verknüpft, um die Erfolgswahrscheinlichkeit zu verstärken, und erreichte eine Zuverlässigkeit von 99% im LTS 6.12.67 und 98% im COS 121-18867, dem Standard-Base-Image der VMs des Google Cloud Compute Engine.


Bad Epoll kann aus dem Sandbox des Chrome-Renders aktiviert werden, einem Bereich, der die meisten bekannten Kernel-Fehler blockiert. Von den 130 Exploits, die im Laufe der Geschichte des Google kernelCTF-Programms eingereicht wurden, sind etwa zehn Kandidaten, um Android-Geräte zu rooten, und CVE-2026-46242 gehört zu dieser Gruppe. Google hat Chung eine Basisprämie von 71.337 US-Dollar für die Entdeckung gezahlt.


Warum der Patch fünf Monate brauchte, um öffentlich bekannt zu werden


Der Fehler wurde am 17. Februar 2026 gemeldet. Der Fix-Commit a6dc643c6931 erreichte am 24. April den Upstream-Kernel, aber das Standard-Embargo des Google kernelCTF-Programms hielt die öffentliche Bekanntgabe bis zur dieser Woche zurück. Der verletzliche Code wurde im Kernel 6.4 über den Commit 58c9b016e128 im April 2023 eingeführt; Kernels des 6.1-LTS-Zweigs sind nicht betroffen.


Im selben Subsystem war das CVE-2026-43074, eine angrenzende Race-Condition im selben Epoll-Code, zuvor durch automatisierte Scans mit KI-Modell identifiziert worden, bevor diese Veröffentlichung stattfand. Bad Epoll blieb unentdeckt. Laut Chung's technischen Analysen, nachdem der erste Bug behoben wurde, aktivierte der angrenzende Fehler den Speicher-Sanitizer des Kernels nicht mehr, wodurch die Laufzeitspuren entfernt wurden, auf die automatisierte Erkennungswerkzeuge angewiesen sind. Das Muster ist relevant für jedes Team, das KI-basierte Scanner zur Code-Sichtung verwendet: Wenn zwei Bugs im selben Ausführungspfad existieren, kann das Beheben eines den anderen vor jedem Scanner verbergen, der auf Ausführungshinweisen zur Kennzeichnung angewiesen ist.


Exposition in globaler Infrastruktur und was jetzt zu tun ist


Ubuntu 24.04 LTS, mit standardmäßigem Kernel 6.8, und Debian 13 sind im betroffenen Bereich. Google hat bestätigt, dass COS 121-Instanzen bereits automatisch den korrigierten Kernel erhalten. AWS und Azure haben bis zum Abschluss dieser Ausgabe keine einzelnen Bulletins veröffentlicht; Teams, die feste Kernels in benutzerdefinierten Images verwalten, müssen überprüfen, ob der Commit a6dc643c6931 integriert ist, bevor sie die Kapazität erweitern.


In Europa verpflichtet NIS2 Betreiber kritischer Infrastruktur, Schwachstellen mit Aufstiegspotenzial zu dokumentieren und zuständige Behörden innerhalb von 72 Stunden nach bestätigter Ausnutzung zu benachrichtigen. Bis zum Abschluss dieser Ausgabe wurden keine Ausnutzungen in der Wildnis gemeldet, aber ein öffentlich verfügbarer Exploit mit 99% Zuverlässigkeit beseitigt die technische Barriere für opportunistische Angriffe.


Der größte Risiko-Vektor in Unternehmensumgebungen sind Cluster-Kubernetes-Hostknoten mit nicht eingeschränkten Benutzernamen, eine Konfiguration, die standardmäßig in mehreren verwalteten Kubernetes-Distributionen vorhanden ist. In gemeinsamen CI/CD-Pipelines kann jeder Job mit kompromittiertem Code über die Lieferkette Bad Epoll nutzen, um vom Container-Isolationsbereich auf den Host zu eskalieren und Geheimnisse anderer Teams zuzugreifen. Lieferzentren in Indien, wo TCS, Infosys und Wipro Multi-Tenant-Kubernetes für Kunden in Europa, den USA und im asiatisch-pazifischen Raum betreiben, haben eine besonders große Angriffsfläche. Die Kernel-Aktualisierung erfordert eine Wartungsfenster, aber das Zurückstellen der Korrektur angesichts eines hochzuverlässigen öffentlichen Exploits verlängert unnötig das Risiko.

Hauptanalyse
CVE-2026-46242 'Bad Epoll': Exploit mit 99% Zuverlässigkeit verwandelt normalen Benutzer in Root im Linux-Kernel | The New Times