Hvad gik i stykker, i klar tale

Den 3. juli 2026 offentliggjorde forskeren Jaeyoung Chung Bad Epoll, sporet som CVE-2026-46242. Det er en use-after-free-race i Linux-kernens epoll-undersystem, det standardmaskineri, et program bruger til at overvåge mange filer og netværksforbindelser på en gang. Servere, netværkstjenester og webbrowsere læner sig alle op ad det, og derfor kan det ikke bare slås fra.

Den praktiske virkning er kontant. En angriber, der allerede har et hvilket som helst fodfæste med få rettigheder på maskinen, en shell fra en kompromitteret webapplikation, en useriøs mobilapp, en underleverandørkonto, kan eskalere til fuld root. Chungs proof of concept, indsendt til Googles kernelCTF-program, udvider et tidsvindue, der normalt kun er omkring seks maskininstruktioner bredt, og opnår root cirka 99 procent af gangene. Kerne 6.4 og nyere er ramt, medmindre de allerede er patchet; ældre 6.1-baserede builds er ikke.

Hvorfor kun lokal ikke betyder lav risiko

Det er fristende at arkivere en lokal rettighedseskalering under senere. Den refleks er forkert for en flådeoperatør. Moderne brud sker i to trin. Første trin, et eksponeret login, en kapret session, en sårbar webfrontend, får en angriber ind på maskinen som begrænset bruger. Bad Epoll er andet trin, der forvandler den begrænsede bruger til root, slår logning fra og gør en inddæmmet hændelse til en domænedækkende.

Android-vinklen skærper pointen. En ondsindet eller trojaniseret app, der klarer den lave tærskel at blive installeret, kan nu strække sig efter root på enheder med kerne 6.4 eller nyere. For enhver organisation, der lader medarbejdere læse firmapost på private telefoner, er den formodede grænse mellem en dårlig app og jeres data lige blevet tyndere. Dette er en historie om patchhåndtering forklædt som en kernefejl.

Den AI-audit-blinde vinkel, ejerne netop har arvet

Her er detaljen, der bør nå bestyrelseslokalet, ikke kun sikkerhedsteamet. Den samme kerne-commit fra 2023 indførte to tilstødende race-tilstande i cirka 2.500 linjer epoll-kode. Anthropics Mythos-model fangede den første, nu sporet som CVE-2026-43074. Den overså den anden, den der blev Bad Epoll. Race-tilstande er notorisk svære at få øje på, og maskingennemgang får dem, ligesom menneskelig gennemgang, ikke øje på ensartet.

Læren er ikke, at AI-kodegennemgang slog fejl. Den er, at et rent AI-gennemløb ikke er et frigivelsescertifikat. Hvis jeres tekniske ledere er begyndt at henvise til automatiske audits som bevis på, at kode er sikker, er dette casen, der siger: et positivt resultat indsnævrer risikoen, det lukker den ikke. Behandl AI-gennemgang som et lag, finansier fuzzing og menneskelige specialister ved siden af, og lad aldrig en grøn maskinrapport blive grunden til at springe en kontrol over.

Hvad man skal gøre i denne uge

Anvend rettelsen fra upstream, kerne-commit a6dc643c6931, eller din distributions backport, med prioritet til internetvendte og fler-lejer-værter, hvor upålidelig lokal kode med størst sandsynlighed kører. For administrerede Android-flåder udrul leverandørens sikkerhedsopdateringer og bekræft, hvilke enheder der kører på kerne 6.4 eller nyere. Epoll kan ikke deaktiveres, så der er ingen konfigurationsgenvej; patchen er afværgelsen.

Brug så øjeblikket som en governance-test. Stil et spørgsmål ved jeres næste driftsgennemgang: hvis en konto med få rettigheder kompromitteres i dag, hvad forhindrer den så i at blive root inden fredag? Hvis det ærlige svar afhænger af en patch, du endnu ikke har planlagt, har du fundet det hul, denne fejl blev bygget til at udnytte.