Bad Epoll: Linux-Lücke ermöglicht Root-Zugriff mit 99% Erfolg
06.07.2026 - 15:32:32 | boerse-global.de
„Bad Epoll" heißt die Schwachstelle, die Angreifern volle Root-Kontrolle über Linux-Server und Android-Geräte ermöglicht.
Sicherheitsforscher haben eine schwerwiegende Verwundbarkeit im epoll-Subsystem des Linux-Kernels identifiziert. Die als CVE-2026-46242 registrierte Lücke trägt den Beinamen „Bad Epoll" und erlaubt lokalen, nicht privilegierten Angreifern, vollständige Root-Rechte zu erlangen. Betroffen sind sowohl Linux-Server als auch Android-Geräte.
Technische Details und hohe Erfolgsrate
Entdeckt wurde die Schwachstelle von Jaeyoung Chung, der sie im Rahmen von Googles kernelCTF-Programm einreichte. Zwar wurde bislang keine aktive Ausnutzung im Feld beobachtet, doch die technischen Eigenschaften des Fehlers lassen auf eine hohe Zuverlässigkeit für potenzielle Angreifer schließen.
Bei „Bad Epoll" handelt es sich um eine Race-Condition-Use-After-Free (UAF) -Lücke im epoll-Subsystem. Dieses dient als skalierbarer I/O-Ereignismechanismus im Linux-Kernel. Das Zeitfenster für die Ausnutzung ist extrem knapp bemessen – es umfasst lediglich etwa sechs Instruktionen. Dennoch erreicht der zur Demonstration entwickelte Exploit eine Erfolgsquote von rund 99 Prozent.
Die Verwundbarkeit betrifft Linux-Kernel ab Version 6.4. Im mobilen Bereich sind Android-Geräte mit Kernel-Version 6.6 und neuer verwundbar. Interessant: Das Sicherheitsunternehmen Mythos AI hatte zuvor einen verwandten Fehler (CVE-2026-43074) identifiziert, die schwerwiegendere „Bad Epoll"-Lücke jedoch übersehen.
Während Server-Administratoren Patches einspielen, bleiben Millionen Android-Nutzer durch solche Kernel-Lücken oft monatelang angreifbar. Dieser kostenlose Report zeigt Ihnen, wie Sie Ihr Smartphone durch die richtigen Sicherheits-Updates sofort effektiv schützen. 5 einfache Schritte für ein sicheres Android-Smartphone
Patch verfügbar – Administratoren zum Handeln aufgefordert
Ein Fix für CVE-2026-46242 wurde mit dem Linux-Kernel-Commit a6dc643c6931 veröffentlicht. Sicherheitsexperten drängen Administratoren, ihre Systeme umgehend auf die neuesten Kernel-Versionen zu aktualisieren, um das Risiko einer lokalen Rechteausweitung zu minimieren.
Weitere Sicherheitsupdates: „DirtyClone" betrifft Ubuntu
Parallel dazu wurden Anfang Juli Patches für eine weitere lokale Rechteausweitung namens „DirtyClone" (CVE-2026-43503) bereitgestellt. Diese Schwachstelle trägt einen CVSS-Schweregrad von 8,8 und betrifft verschiedene Ubuntu-Versionen.
Die Korrekturen stehen für Ubuntu 20.04 LTS, 22.04 LTS, 24.04 LTS, 25.10 sowie die aktuelle 26.04 LTS zur Verfügung. Bestehende Schutzmaßnahmen gegen frühere Kernel-Lücken wie „Dirty Frag" und „Fragnesia" bieten laut Sicherheitsberichten auch teilweisen Schutz vor DirtyClone.
Besonders für Ubuntu-Nutzer ist ein aktuelles System entscheidend, um Sicherheitslücken wie „DirtyClone“ keine Angriffsfläche zu bieten. Erfahren Sie in unserem Gratis-Startpaket, wie Sie Ubuntu sicher betreiben und die Vorteile eines stabilen Open-Source-Systems voll ausschöpfen. Kostenloses Linux-Startpaket inklusive Ubuntu-Vollversion sichern
Angespannte Sicherheitslage
Die Offenlegung dieser Schwachstellen fällt in eine phase erhöhter Aktivität im Bereich der Cybersicherheit. Erst kürzlich hatte die US-Behörde CISA weitere Lücken in SharePoint in ihre Liste bekannter ausgenutzter Verwundbarkeiten aufgenommen. Auch die Ransomware-Szene und Lieferkettenangriffe zeigen weiterhin hohe Aktivität – ein Alarmzeichen für Unternehmen und Privatanwender gleichermaßen.
