Bad Epoll: Diese Root-Lücke hat Anthropics KI übersehen

Sicherheitsforscher Jaeyoung Chung hat eine Schwachstelle im Linux-Kernel offengelegt, die einem gewöhnlichen Nutzer ohne Sonderrechte die volle Kontrolle über das System verschafft. Bad Epoll, offiziell CVE-2026-46242, betrifft Linux-Desktops, Server und Android. Ein Patch liegt vor. Interessant ist der Fall vor allem wegen einer Nebengeschichte: Ausgerechnet eine KI hatte den betroffenen Code schon untersucht und diese Lücke verfehlt.
Was Bad Epoll anrichtet
Die Lücke steckt im epoll-Subsystem, einer Kernfunktion, mit der Programme viele Dateien und Netzwerkverbindungen gleichzeitig überwachen. Server, Netzwerkdienste und Browser nutzen sie ständig, abschalten lässt sie sich nicht. Bad Epoll ist ein Use-after-free-Fehler: Zwei Kernel-Pfade räumen dasselbe interne Objekt gleichzeitig auf, einer gibt den Speicher frei, während der andere noch hineinschreibt. Diese kurze Kollision reicht, um Kernel-Speicher zu manipulieren und sich von einem normalen Konto zu Root hochzuarbeiten.
Der Haken ist das Timing. Das Fenster, in dem beide Pfade zusammenstoßen, ist nur rund sechs Maschinenbefehle breit. Chungs Exploit weitet dieses Fenster und probiert es ohne Absturz immer wieder, bis er auf getesteten Systemen in etwa 99 Prozent der Fälle Root erreicht. Zwei Dinge machen den Fehler brisanter als übliche Kernel-Bugs: Laut Chung lässt er sich aus der Renderer-Sandbox von Chrome heraus auslösen, und er reicht bis auf Android, was den meisten Linux-Lücken verwehrt bleibt.
Warum die KI die Lücke übersah
Beide Probleme gehen auf eine einzige Code-Änderung von 2023 zurück, in gerade einmal 2.500 Zeilen epoll-Code. Die erste der beiden Race-Conditions fand Anthropics KI-Modell Mythos und meldete sie als CVE-2026-43074. Das war ein echter Erfolg, denn solche Wettlauf-Fehler gelten als schwer aufzuspüren. Die zweite, Bad Epoll, übersah das Modell. Am Ende war es der Mensch Jaeyoung Chung, der sie fand und einen funktionierenden Angriff dazu baute.
Für den blinden Fleck nennt Chung zwei Gründe, ohne sich festzulegen. Das Zeitfenster ist so winzig, dass sich der genaue Ablauf selbst beim Blick auf den Code kaum vorstellen lässt. Und nachdem die erste Lücke gestopft war, löste Bad Epoll den Speicherfehler-Melder KASAN meist nicht mehr aus, dem Modell fehlten also die Spuren zur Laufzeit. Der Fall zeigt beides: dass eine KI komplexe Kernel-Fehler finden kann und dass sie an feinen Race-Conditions noch scheitert.
Wer betroffen ist und was zu tun ist
Betroffen sind Kernel ab Version 6.4, sofern der Fix noch fehlt. Ältere Systeme auf Basis von Linux 6.1 sind sicher, darunter einige Android-Geräte wie das Pixel 8, weil der fehlerhafte Code erst nach diesem Zweig hinzukam. Ein Android-Exploit ist laut Chung noch in Arbeit. Bei der akuten Gefahr gibt es Entwarnung: Bislang deutet nichts auf Angriffe in freier Wildbahn hin, der einzige lauffähige Code ist der Machbarkeitsnachweis aus Googles kernelCTF-Programm. Wichtig auch: Der Angreifer braucht bereits lokalen Zugang zum Gerät, aus der Ferne lässt sich die Lücke nicht auslösen.
Wer selbst patcht, spielt den Upstream-Commit a6dc643c6931 ein, alle anderen warten auf den Backport ihrer Distribution und installieren ihn zügig. Da epoll sich nicht deaktivieren lässt, gibt es keinen Workaround, nur das Update hilft.





