Der Fehler „Bad Epoll“ sitzt in einem kleinen Abschnitt des Kernel-Codes, in dem zuvor bereits eine andere Schwachstelle gefunden wurde. Beide gehen laut Jaeyoung Chung auf eine einzelne Änderung am epoll-Code aus dem Jahr 2023 zurück. Die zuerst entdeckte Lücke wird als CVE-2026-43074 geführt; Chung zufolge wurde sie von Anthropics KI-Modell Mythos gefunden, ein Fix dafür wurde früher im Jahr 2026 eingepflegt.

Bei CVE-2026-46242 räumen zwei Teile des Kernels dasselbe interne Objekt gleichzeitig auf. Einer gibt den Speicher frei, während der andere noch hineinschreibt. Diese kurze Kollision ermöglicht es Angreifern, Kernel-Speicher zu beschädigen und sich von einem normalen Benutzerkonto zu Root-Rechten hochzuarbeiten. Das Problem ist dabei ein Rennen um Timing: Das Zeitfenster, in dem beide Codepfade kollidieren, ist laut Quelltext nur etwa sechs Maschineninstruktionen breit.

Chung hat nach eigenen Angaben einen Exploit gebaut, der dieses Zeitfenster vergrößert und Angriffe wiederholt, ohne das System zum Absturz zu bringen. Auf getesteten Systemen erreichte der Angriff damit in etwa 99 Prozent der Fälle Root-Rechte. Zusätzliche Brisanz erhält die Lücke dadurch, dass sie laut Chung aus Chromes Renderer-Sandbox heraus triggerbar ist und auch Android betrifft — etwas, was viele andere Linux-Privilegienfehler nicht schaffen. Eine Android-Version des Exploits ist allerdings noch in Arbeit.

Einen Workaround gibt es nicht, weil sich epoll nicht deaktivieren lässt. Als Abhilfe nennt der Quelltext den Upstream-Commit a6dc643c6931 beziehungsweise den Backport der jeweiligen Distribution, sobald dieser verfügbar ist. Betroffen sind Kernel auf Basis von Version 6.4 oder neuer, sofern der Fix noch nicht enthalten ist. Ältere 6.1-basierte Kernel sind nicht anfällig; dazu zählen laut Quelltext auch einige Android-Geräte wie das Pixel 8, weil der Fehler erst mit Linux 6.4 eingeführt wurde.

Missbrauch in realen Angriffen ist derzeit nicht belegt. Zum Zeitpunkt des Quelltexts taucht CVE-2026-46242 nicht in CISA-Liste der bekannten ausgenutzten Schwachstellen auf. Chung reichte die Lücke als Zero-Day beim kernelCTF-Programm von Google ein und veröffentlichte eine technische Analyse. Dass Mythos diese Schwesterlücke übersehen hat, obwohl das Modell eine andere Schwachstelle im selben Codebereich fand, erklärt Chung mit zwei möglichen Gründen, betont aber zugleich, dass sich das nicht sicher feststellen lasse. Nach dem Patch für die erste Lücke schlägt KASAN, der zentrale Bug-Detektor des Kernels, bei der Speicherbeschädigung von Bad Epoll demnach meist nicht mehr an.

Der Quelltext ordnet Bad Epoll in eine Reihe bekannter Android-Root-Bugs wie Bad Binder, Bad IO_uring und Bad Spin ein. Zugleich verweist er auf weitere aktuelle Linux-Privilegienlücken, die anders funktionieren, etwa Copy Fail (CVE-2026-31431), das inzwischen auf CISA-Liste der bekannten ausgenutzten Schwachstellen steht. Ebenfalls erwähnt wird CVE-2026-31694 im FUSE-Dateisystemcode des Kernels, entdeckt von der KI-getriebenen Forschungsfirma Bynario. Dort kann ein lokaler Nutzer mit FUSE-Zugriff dem Kernel ein präpariertes Dateisystem liefern und Speicher beschädigen. Außerdem fand und exploitierte Mythos laut Quelltext eine 17 Jahre alte Lücke zur Remotecodeausführung im NFS-Server von FreeBSD, geführt als CVE-2026-4747.