Wat kapotging, in gewone taal

Op 3 juli 2026 publiceerde onderzoeker Jaeyoung Chung Bad Epoll, geregistreerd als CVE-2026-46242. Het is een use-after-free race in het epoll-subsysteem van de Linux-kernel, de standaardmachinerie die een programma gebruikt om veel bestanden en netwerkverbindingen tegelijk te bewaken. Servers, netwerkdiensten en webbrowsers leunen er allemaal op, en daarom kan het niet zomaar worden uitgezet.

Het praktische effect is bot. Een aanvaller die al enige voet met weinig rechten op de machine heeft, een shell uit een gekraakte webapplicatie, een malafide mobiele app, een account van een aannemer, kan opschalen naar volledige root. Chungs proof of concept, ingediend bij Googles kernelCTF-programma, verbreedt een tijdvenster dat normaal maar ongeveer zes machine-instructies breed is en behaalt root ongeveer 99 procent van de tijd. Kernel 6.4 en nieuwer zijn getroffen tenzij al gepatcht; oudere op 6.1 gebaseerde builds niet.

Waarom alleen lokaal geen laag risico betekent

Het is verleidelijk om een lokale rechtenescalatie onder later weg te bergen. Die reflex is verkeerd voor wie een vloot beheert. Moderne inbraken verlopen in twee stappen. De eerste stap, een blootgestelde inlog, een gekaapte sessie, een kwetsbare webvoorkant, brengt een aanvaller als beperkte gebruiker op de machine. Bad Epoll is de tweede stap die die beperkte gebruiker in root verandert, logging uitschakelt en een ingedamd incident tot een domeinbreed incident maakt.

De Android-invalshoek scherpt het punt aan. Een kwaadaardige of getrojaniseerde app die de lage drempel van installatie haalt, kan nu naar root reiken op toestellen met kernel 6.4 of nieuwer. Voor elke organisatie die personeel zakelijke e-mail op privételefoons laat lezen, is de veronderstelde grens tussen een slechte app en uw gegevens net dunner geworden. Dit is een verhaal over patchbeheer in het kostuum van een kernelbug.

De AI-audit-blinde vlek die beheerders net erven

Hier is het detail dat de bestuurskamer zou moeten bereiken, niet alleen het beveiligingsteam. Dezelfde kernel-commit uit 2023 introduceerde twee aangrenzende race-condities in ongeveer 2.500 regels epoll-code. Het Mythos-model van Anthropic ving de eerste, nu geregistreerd als CVE-2026-43074. Het miste de tweede, die Bad Epoll werd. Race-condities zijn berucht moeilijk te vinden, en machinecontrole vindt ze, net als menselijke controle, niet gelijkmatig.

De les is niet dat AI-codecontrole faalde. Het is dat een schone AI-doorloop geen vrijgavecertificaat is. Als uw technische leiding geautomatiseerde audits is gaan aanhalen als bewijs dat code veilig is, dan is dit de casus die zegt: een positief resultaat versmalt het risico, het sluit het niet af. Behandel AI-controle als een laag, financier fuzzing en menselijke specialisten ernaast, en laat nooit een groen machinerapport de reden worden om een beheersmaatregel over te slaan.

Wat deze week te doen

Voer de upstream-oplossing door, kernel-commit a6dc643c6931, of de backport van uw distributie, met voorrang voor op internet gerichte en multi-tenant hosts waar niet-vertrouwde lokale code het waarschijnlijkst draait. Voor beheerde Android-omgevingen: verspreid de beveiligingsupdates van de leverancier en bevestig welke toestellen op kernel 6.4 of nieuwer draaien. Epoll kan niet worden uitgeschakeld, dus er is geen configuratie-sluiproute; de patch is de mitigatie.

Gebruik het moment vervolgens als bestuurstest. Stel een vraag in uw volgende operationele evaluatie: als vandaag een account met weinig rechten wordt gekraakt, wat weerhoudt het dan ervan om vrijdag root te zijn? Als het eerlijke antwoord afhangt van een patch die u nog niet hebt ingepland, hebt u het gat gevonden waarvoor deze bug is gemaakt.