Die Schwachstelle entsteht durch die unbeabsichtigte Interaktion zweier Standard-Komponenten: snap-confine, das Ausführungsumgebungen für Snap-Anwendungen durch Sandboxing verwaltet, und systemd-tmpfiles, das automatisch temporäre Dateien und Verzeichnisse wie /tmp, /run und /var/tmp löscht, sobald sie ein definiertes Alter überschreiten.
Der Angriffsablauf funktioniert folgendermaßen: Systemd-tmpfiles führt in Standard-Konfigurationen regelmäßig Bereinigungen im /tmp-Verzeichnis durch. Ein Angreifer mit geringen Rechten kann diese Cleanup-Zyklen manipulieren und dadurch ein zeitliches Fenster schaffen, in dem er Root-Zugriff erlangen kann. Trotz der hohen Komplexität des Exploits — er benötigt präzises Timing — erfordert die Ausnutzung weder erhöhte Berechtigungen noch Benutzerinteraktion.
Qualys teilte mit, dass die Lücke bereits in neueren Ubuntu-Versionen behoben wurde. Allerdings bleibt die zeitliche Komponente des Exploits eine besondere Herausforderung: Das 10- bis 30-Tage-Fenster macht eine Früherkennung schwieriger.
Neben CVE-2026-3888 entdeckten die Forscher eine weitere Race-Condition-Schwachstelle im uutils coreutils-Paket. Diese ermöglicht es lokalen Angreifern, Verzeichniseinträge während Root-eigener Cron-Ausführungen durch Symlinks zu ersetzen. Die potenzielle Folge: willkürliches Löschen von Dateien mit Root-Rechten oder weitere Privilege-Escalation durch Targeting von Snap-Sandbox-Verzeichnissen.
Ubuntu reagierte schnell: In Version 25.10 wurde das Standard-rm-Kommando zu GNU coreutils zurückgesetzt, um das Risiko sofort zu mindern. Upstream-Fixes wurden bereits im uutils-Repository angewendet.
Für deutsche Ubuntu-Nutzer und Administratoren ist schnelles Handeln geboten: Systemupdates sollten umgehend eingespielt werden. Besonders Unternehmen, die Ubuntu im Produktivbetrieb einsetzen, sollten ihre Systeme überprüfen und gegebenenfalls ihre Sicherheitsrichtlinien anpassen.