Ein Sicherheitsforscher hat einen äußerst zuverlässigen, funktionierenden Exploit für eine Linux-Kernel-Schwachstelle veröffentlicht, mit dem ein gewöhnlicher, unprivilegierter Nutzer die volle Kontrolle über ein System als Root erlangen kann - ohne Passwort, ohne Social Engineering, nur durch lokale Codeausführung. Die als Local Privilege Escalation (LPE) eingestufte Lücke, bekannt als CVE-2026-46242 und "Bad Epoll" genannt, betrifft Linux-Server, Desktops und Android-Smartphones mit Kernel 6.4 oder neuer. Ein Patch existiert bereits im Upstream, ist aber noch nicht flächendeckend verteilt.
Wie die Use-after-free-Lücke in Bad Epoll funktioniert
Der Fehler steckt in epoll, dem Mechanismus, mit dem der Linux-Kernel einem einzelnen Programm erlaubt, gleichzeitig Tausende offene Dateien oder Netzwerkverbindungen zu überwachen - etwas, worauf praktisch jeder Webserver, jede Datenbank und jeder VPN-Dienst angewiesen ist. Der Forscher Jaeyoung Chung vom Computer Security Lab der Seoul National University fand heraus, dass zwei interne Aufräumroutinen von epoll innerhalb der Funktion ep_remove() bei gleichzeitiger Ausführung kollidieren können: Eine gibt einen Speicherbereich des Kernels frei, während die andere noch hineinschreibt. Dieses Use-after-free-Fenster ist nur etwa sechs CPU-Befehle breit, doch Chungs auf GitHub veröffentlichter Proof-of-Concept nutzt den beschädigten Speicher, um eine Return-Oriented-Programming-Kette (ROP) aufzubauen, die den Ausführungsfluss des Kernels kapert und dem Angreifer Root-Rechte verschafft.
Wer betroffen ist
- Linux-Server und -Desktops: Jede Distribution mit einem Mainline-Kernel ab Version 6.4 ist verwundbar.
- Android-Geräte: Funktioniert nachweislich auf einem Google Pixel 10 (Kernel 6.6); ältere Geräte mit dem Long-Term-Support-Zweig 6.1 sind nicht betroffen.
- Browser als Einfallstor: Da der Exploit lediglich lokale Codeausführung benötigt, weisen Forscher darauf hin, dass er theoretisch auch aus einem isolierten Prozess wie einem Chrome-Renderer heraus gestartet werden könnte - ein einfacher Browser-Bug würde damit zur vollständigen Geräteübernahme.
Der erste Fixversuch der Kernel-Maintainer, veröffentlicht nach der Behebung einer früheren, verwandten Lücke (CVE-2026-43074), schloss das Loch nicht vollständig - es dauerte noch etwa zwei weitere Monate, bis eine korrekte Lösung in den Mainline-Kernel gelangte. Genau dieser langsame, zweistufige Patch-Prozess erklärt, warum so viele Systeme weiterhin verwundbar sind: Distributionen und Android-Hersteller hinken dem Mainline oft um mehrere Patch-Zyklen hinterher, und selbstverwaltete Server noch mehr.
So prüfen Sie, ob Sie betroffen sind
Führen Sie im Terminal den Befehl uname -r aus, um Ihre laufende Kernel-Version zu sehen. Zeigt sie 6.4 oder höher an und hat Ihre Distribution oder Ihr Gerät seit Anfang Juli 2026 kein Sicherheitsupdate erhalten, sollten Sie das System als verwundbar betrachten und so schnell wie möglich den aktuellen Kernel- oder Hersteller-Patch einspielen.
Warum das mehr als nur private Rechner betrifft
Bad Epoll benötigt keine Netzwerkverbindung, um zu funktionieren - nur lokale Codeausführung, was zunächst beruhigend klingt. Doch "lokal" umfasst heute sehr viel: Shared-Hosting-Server, CI/CD-Build-Runner, Cloud-VPS-Instanzen, selbst betriebene Netzwerkgeräte und jede Linux-Maschine, die jemals nicht vertrauenswürdigen Code ausführt - sei es ein heruntergeladenes Skript, ein Container-Escape oder ein kompromittierter Browser-Tab. Sobald ein Angreifer auch nur den kleinsten Fuß in der Tür hat, macht Bad Epoll daraus vollständige administrative Kontrolle.
Das größere Muster
Bad Epoll erinnert auch daran, wie stark moderne Netzwerkinfrastruktur - einschließlich der Linux-Rechner, auf denen VPN-Gateways, selbst betriebene Proxys und Heimrouter laufen - von einer Kernel-Komponente abhängt, von der die meisten Nutzer noch nie gehört haben. Ein einziges ungepatchtes System in einem gemeinsam genutzten Netzwerk oder ein VPN-Anbieter, der Kernel-Updates auf seiner Serverflotte nur langsam ausrollt, kann aus einem "rein lokalen" Fehler ein erhebliches Risiko für alle machen, deren Datenverkehr darüber läuft. Diese Geschichte reiht sich in ein Muster ein, das sich dieses Jahr wiederholt: von gestohlenen FortiGate-Zugangsdaten bis zu Citrix Bleed erweist sich immer wieder ungepatchter, unscheinbarer Kernel- und Firmware-Code als das schwächste Glied der Privatsphäre-Infrastruktur - nicht die Verschlüsselung selbst.