Was kaputtging, in klaren Worten
Am 3. Juli 2026 veröffentlichte der Forscher Jaeyoung Chung Bad Epoll, geführt als CVE-2026-46242. Es handelt sich um eine Use-after-free-Race im epoll-Subsystem des Linux-Kernels, jener Standardmechanik, mit der ein Programm viele Dateien und Netzwerkverbindungen gleichzeitig überwacht. Server, Netzwerkdienste und Webbrowser stützen sich alle darauf, weshalb es sich nicht einfach abschalten lässt.
Die praktische Wirkung ist unmissverständlich. Ein Angreifer, der bereits irgendeinen Zugang mit niedrigen Rechten auf dem System hat, eine Shell aus einer kompromittierten Webanwendung, eine bösartige Mobil-App, ein Dienstleisterkonto, kann sich zu vollem Root hochstufen. Chungs Machbarkeitsnachweis, eingereicht bei Googles kernelCTF-Programm, weitet ein Zeitfenster, das normalerweise nur etwa sechs Maschinenbefehle breit ist, und erreicht Root in rund 99 Prozent der Fälle. Kernel 6.4 und neuer sind betroffen, sofern nicht bereits gepatcht; ältere 6.1-basierte Builds nicht.
Warum nur lokal nicht geringes Risiko bedeutet
Es ist verlockend, eine lokale Rechteausweitung unter später abzulegen. Dieser Reflex ist für einen Flottenbetreiber falsch. Moderne Einbrüche verlaufen in zwei Schritten. Der erste Schritt, ein offengelegter Zugang, eine erbeutete Sitzung, ein verwundbares Web-Frontend, bringt einen Angreifer als eingeschränkten Nutzer auf die Maschine. Bad Epoll ist der zweite Schritt, der diesen eingeschränkten Nutzer in Root verwandelt, das Protokoll abschaltet und aus einem eingegrenzten Vorfall einen domänenweiten macht.
Der Android-Aspekt verschärft den Punkt. Eine bösartige oder trojanisierte App, die nur die niedrige Hürde der Installation nimmt, kann nun auf Geräten mit Kernel 6.4 oder neuer nach Root greifen. Für jede Organisation, die Mitarbeitern erlaubt, Firmen-E-Mail auf privaten Handys zu lesen, ist die angenommene Grenze zwischen einer schlechten App und Ihren Daten gerade dünner geworden. Dies ist eine Patch-Management-Geschichte im Kostüm eines Kernel-Fehlers.
Der KI-Audit-Blindfleck, den Betreiber gerade geerbt haben
Hier ist das Detail, das in die Vorstandsetage gehört, nicht nur ins Sicherheitsteam. Derselbe Kernel-Commit von 2023 führte zwei benachbarte Race-Conditions in rund 2.500 Zeilen epoll-Code ein. Anthropics Mythos-Modell erwischte die erste, nun geführt als CVE-2026-43074. Es übersah die zweite, jene, die zu Bad Epoll wurde. Race-Conditions sind bekanntlich schwer zu erkennen, und maschinelle Prüfung erkennt sie, wie menschliche Prüfung, nicht gleichmäßig.
Die Lehre ist nicht, dass die KI-Code-Prüfung versagt hat. Sie ist, dass ein sauberer KI-Durchlauf kein Freigabezertifikat ist. Wenn Ihre Technikverantwortlichen begonnen haben, automatisierte Audits als Beweis für sicheren Code anzuführen, ist dies die Fallstudie, die sagt: ein positives Ergebnis verengt das Risiko, es schließt es nicht. Behandeln Sie KI-Prüfung als eine Ebene, finanzieren Sie Fuzzing und menschliche Spezialisten daneben, und lassen Sie nie einen grünen Maschinenbericht zum Grund werden, eine Kontrolle zu überspringen.
Was diese Woche zu tun ist
Spielen Sie den Upstream-Fix ein, Kernel-Commit a6dc643c6931, oder den Backport Ihrer Distribution, mit Vorrang für ins Internet gerichtete und mandantenfähige Hosts, auf denen nicht vertrauenswürdiger lokaler Code am ehesten läuft. Für verwaltete Android-Bestände verteilen Sie die Sicherheitsupdates der Hersteller und prüfen Sie, welche Geräte auf Kernel 6.4 oder neuer laufen. Epoll lässt sich nicht deaktivieren, es gibt also keine Konfigurationsabkürzung; der Patch ist die Gegenmaßnahme.
Nutzen Sie den Moment dann als Governance-Test. Stellen Sie in Ihrer nächsten Betriebsbesprechung eine Frage: Wenn heute ein Konto mit niedrigen Rechten kompromittiert wird, was hindert es daran, bis Freitag Root zu werden? Wenn die ehrliche Antwort von einem Patch abhängt, den Sie noch nicht eingeplant haben, haben Sie die Lücke gefunden, für die dieser Fehler gebaut wurde.
Weiterlesen: Ist Ihre Cyberabwehr bereit für Angriffe in Maschinengeschwindigkeit? | Alibaba verbietet Claude Code als Backdoor-Risiko



