CVE-2026-46242 hat einen CVSS-Wert von 7,8 und betrifft den epoll-Mechanismus des Linux-Kernels. epoll verwaltet laut Quelltext eine Instanz mit einer Interessenliste und einer Bereitschaftsliste von Dateideskriptoren, statt Programme zahlreiche Dateideskriptoren einzeln abfragen zu lassen. Bei „Bad Epoll“ handelt es sich um eine Close-versus-Close-Race-Condition im Dateifreigabepfad von epoll, die in einen Use-after-free-Zustand führt.
Konkret tritt der Fehler auf, wenn eine eventpoll-Dateideskriptorliste eine andere überwacht und beide gleichzeitig geschlossen werden. In diesem Fall gibt eine Seite ein Objekt frei, während die andere weiter darauf schreibt. Genau diese Konstellation kann nach den nun veröffentlichten technischen Details zur Rechteausweitung missbraucht werden.
Jaeyoung Chung vom Computer Security Lab der Seoul National University entdeckte die Schwachstelle und meldete sie an Google kernelCTF als Zero-Day. Chung zufolge wurde „Bad Epoll“ im Jahr 2023 mit einem Commit eingeführt, der zugleich CVE-2026-43074 einbrachte, also eine weitere Race-Condition im epoll-Code. Diese andere Schwachstelle war von Mythos bei Anthropic gefunden worden.
Warum „Bad Epoll“ zunächst unentdeckt blieb, erklärt der Quelltext ebenfalls: Mit behobener CVE-2026-43074 löst „Bad Epoll“ offenbar keinen Alarm in KASAN aus, dem Kernel Address Sanitizer des Linux-Kernels zur Erkennung dynamischer Speicherfehler. Der Forscher schreibt zudem, die Behebung sei schwierig gewesen. Wörtlich hält er fest: „Bad Epoll war auch schwer zu beheben. Der erste Patch der Maintainer hat das Problem nicht vollständig behoben, und ein korrekter Patch wurde erst zwei Monate nach der ersten Meldung eingespielt. Das ist eine lange Zeit für einen Kernel, der Sicherheitsprobleme üblicherweise mit Dringlichkeit behandelt.“
Inzwischen hat Chung einen Proof of Concept veröffentlicht. Dieser triggert „Bad Epoll“, um Kernel-Speicher offenzulegen und einen indirekten Aufruf zu kapern, sodass sich der Befehlszeiger des Prozessors kontrollieren lässt. Die Erlangung von Root-Rechten erfolgt dabei über eine Return-Oriented-Programming-Kette.
Betroffen sind nach den vorliegenden Angaben Linux-Distributionen, die auf Kernel-Version 6.4 oder neuer basieren. Bestätigt wurde „Bad Epoll“ außerdem auf Pixel-10-Geräten, die Kernel 6.6 einsetzen. Mit der Veröffentlichung von PoC-Code und technischen Details steigt der Druck auf Organisationen, die verfügbaren Korrekturen einzuspielen.
