Bad Epoll: Linux-Lücke ermöglicht Root-Zugriff mit 99% Erfolg
Veröffentlicht: 08.07.2026 um 01:19 Uhr, Redaktion boerse-global.de
Sicherheitsforscher haben eine schwerwiegende Schwachstelle im Linux-Kernel entdeckt, die unter dem Namen „Bad Epoll" bekannt wurde. Die als CVE-2026-46242 registrierte Lücke ermöglicht lokalen Angreifern, auf betroffenen Systemen uneingeschränkte Root-Rechte zu erlangen – und das mit einer erschreckend hohen Erfolgsquote.
99 Prozent Erfolgsrate – und kein Ausweichen möglich
Die Schwachstelle ist ein sogenannter Race-Condition-Use-After-Free-Fehler im epoll-Subsystem des Linux-Kernels. Entdeckt wurde sie vom Forscher Jaeyoung Chung. In Tests erreichte der Exploit eine Erfolgsrate von rund 99 Prozent. Besonders alarmierend: Der Angriff ist sogar aus der Chrome-Sandbox heraus möglich. Gelingt es einem Angreifer zunächst, einen Browser-Prozess zu kompromittieren, könnte er über diese Lücke seine Rechte ausweiten und das gesamte System übernehmen.
Betroffen sind Linux-Kernel-Versionen 6.4 und neuer. Auch Android-Geräte wie das Pixel 10 sind verwundbar. Ein Patch wurde bereits bereitgestellt – unter dem Kernel-Commit a6dc643c6931. Einen wirksamen Workaround gibt es nicht. Systemadministratoren bleibt nur der Weg, das offizielle Update einzuspielen.
KI versagt bei der Fehlersuche
Die Veröffentlichung von „Bad Epoll" offenbarte auch Grenzen der Künstlichen Intelligenz in der Softwaresicherheit. Berichten zufolge konnte das KI-Modell Mythos von Anthropic die Schwachstelle nicht identifizieren – obwohl es zuvor eine verwandte Lücke (CVE-2026-43074) erfolgreich aufgespürt hatte.
Wer die Bad-Epoll-Lücke mit 99% Erfolgsrate fürchtet, findet im Report die sofort umsetzbare Patch-Checkliste und eine Anleitung zur Absicherung gegen Januscape – bevor Angreifer Root-Zugriff erlangen. Jetzt kostenlosen Sicherheits-Report anfordern
Bislang gibt es keine bestätigten Berichte über aktive Angriffe vor der Veröffentlichung. Allerdings liegt der Exploit-Code nun öffentlich vor, was die Dringlichkeit des Patchens unterstreicht.
Zweite Lücke gefährdet Cloud-Umgebungen
Zeitgleich mit „Bad Epoll" wurde am 7. Juli 2026 eine weitere schwerwiegende Kernel-Schwachstelle publik: „Januscape" (CVE-2026-53359). Der von Hyunwoo Kim entdeckte Use-After-Free-Fehler steckt im KVM-Schatten-MMU (Kernel-based Virtual Machine).
Anders als „Bad Epoll" ermöglicht „Januscape" einen sogenannten Guest-to-Host-VM-Escape – also den Ausbruch aus einer virtuellen Maschine auf das Wirtsystem. Der Fehler schlummerte 16 Jahre lang unentdeckt im Kernel und betrifft Systeme seit 2010. Besonders gefährdet sind Multi-Tenant-Cloud-Umgebungen mit verschachtelter Virtualisierung auf Intel- und AMD-x86-Hardware. Der Patch trägt die Kennung 81ccda30b4e8. Wer nicht sofort aktualisieren kann, sollte verschachtelte Virtualisierung deaktivieren.
Cloud-Umgebungen mit Multi-Tenant-Virtualisierung sind durch Januscape akut gefährdet – der VM-Escape erlaubt Angreifern den Sprung aufs Wirtsystem. Dieser Report zeigt, wie Sie verschachtelte Virtualisierung deaktivieren und die offiziellen Patches einspielen. Januscape-Schutzleitfaden jetzt sichern
Distributionen reagieren
Die großen Linux-Distributionen – darunter Debian, Fedora, SUSE und Ubuntu – haben bereits am 6. und 7. Juli Sicherheitsupdates ausgerollt. Angesichts der Schwere beider Lücken ist eine zeitnahe Installation dringend anzuraten.
