Was Bad Epoll tut und wer betroffen ist
Bad Epoll ist ein Use-after-free-Rennen in epoll, der Standardeinrichtung von Linux, mit der ein Programm viele Dateien und Verbindungen zugleich beobachtet. Wenn zwei eventpoll-Listen sich gegenseitig überwachen und im selben Moment geschlossen werden, gibt die eine ein internes Objekt frei, während die andere noch hineinschreibt, und diese kurze Kollision lässt einen unprivilegierten Prozess Kernel-Speicher verfälschen und zu Root aufsteigen. Der öffentliche Exploit liest Kernel-Speicher aus, kapert einen indirekten Aufruf und baut eine ROP-Kette zur Root-Shell.
Die Angriffsfläche ist breit. Jedes Linux-System auf einem Kernel ab Version 6.4 ist bis zum Patch betroffen, das umfasst Desktops, Server und Android-Geräte wie das Pixel 10 auf Kernel 6.6. Kernel der älteren 6.1-Reihe sind nicht betroffen, denn der Fehler kam mit einer Änderung von 2023, die in 6.4 landete. Angriffe in freier Wildbahn sind bisher nicht gemeldet, doch mit lauffähigem Code auf GitHub ist das Fenster zwischen Veröffentlichung und Missbrauch kurz, und epoll steckt überall, lässt sich also nicht einfach abschalten.
Der Fehler, den eine KI-Prüfung nicht fand
Die schärfere Lehre liegt darin, wie der Fehler gefunden wurde. Sowohl Bad Epoll als auch sein Zwilling CVE-2026-43074 gehen auf dieselbe einzelne Änderung von 2023 am epoll-Code zurück. Eine automatische Codeprüfung fand den ersten des Paars Anfang 2026, und dessen Fix kam. Bad Epoll fand sie nicht. Den fand der Mensch auf die alte Art: Jaeyoung Chung von der Seoul National University meldete ihn am 6. Juli 2026 als Zero-Day-Einreichung an Googles kernelCTF, mit einem Exploit, der zuverlässig genug ist, um als nahezu sicher zu gelten.
Lesen Sie das genau, bevor Sie schließen, KI habe die Kernel-Fehlerjagd beendet. Maschinelle Prüfung ist wirklich nützlich und nahm einen aktiven Root-Fehler aus dem Baum. Doch ein einziger riskanter Commit brachte zwei ausnutzbare Lücken hervor, der automatische Lauf nahm eine und ließ die andere, und die verbliebene war die, die Root gibt. KI-Prüfung hebt die Grundlinie; sie macht das Patchen nicht optional, und ein von ihr gesegneter Commit ist nicht automatisch sauber.
Was diese Woche zu patchen ist
Der Fix steckt seit dem 24. April im Mainline-Kernel, als Upstream-Commit a6dc643c6931, aber das ist nicht dasselbe wie der Fix auf Ihren Maschinen. Viele Distributionen haben ihn noch nicht zurückportiert, also lebt das eigentliche Risiko in der Lücke zwischen im-Mainline-behoben und in-der-Flotte-gepatcht. Spielen Sie das neueste Kernel-Update Ihrer Distribution ein, sobald es kommt, und auf dem Pixel 10 sowie anderen Geräten auf Kernel 6.6 das Sicherheitsupdate von Google, sobald verfügbar.
Priorisieren Sie danach, wer sich anmelden kann. Die Gefahr eines lokal-zu-Root-Fehlers ist am höchsten, wo nicht vertrauenswürdige oder viele Nutzer sich einen Host teilen: Shared Hosting, CI-Runner, mandantenfähige Container und Entwicklerrechner, wo ein einzelnes kompromittiertes Konto nicht zur ganzen Maschine werden darf. Prüfen Sie Ihre Kernel-Version, behandeln Sie alles ab 6.4 bis zum Patch als betroffen, und nehmen Sie dies als Anstoß, weitere Fixes aus derselben epoll-Änderung von 2023 zu prüfen.
Weiterlesen: Linux-Root-Lücke trifft jetzt Server und Android | Diese Schadsoftware löscht zuerst Ihre Backups



