Die Schwachstelle betrifft das eventpoll-Subsystem (epoll) im Linux-Kernel – jenen Mechanismus, mit dem Programme effizient überwachen, ob auf vielen Datei- oder Netzwerkverbindungen gleichzeitig neue Ereignisse anliegen. Der Fehler liegt in der Speicherverwaltung: Beim Freigeben einer epoll-Instanz wird die zugehörige interne Datenstruktur bereits freigegeben, während ein anderer, gleichzeitig laufender Ausführungsstrang sie noch verwendet. Dadurch entsteht eine Use-after-Free-Situation – ein Zugriff auf bereits freigegebenen Speicher. Ausgelöst wird der Defekt durch eine Wettlaufsituation (Race Condition) zwischen dem Freigeben und der weiteren Nutzung der Struktur, sie tritt also nur unter bestimmten zeitlichen Bedingungen bei nebenläufigem Zugriff auf. Solche Fehler können zu Abstürzen des Kernels und im ungünstigen Fall zu einer Manipulation des Speichers führen, die sich ausnutzen lässt. Behoben wird das Problem, indem die Freigabe der Struktur bis zum Ende einer RCU-Schonfrist aufgeschoben wird, sodass sie erst freigegeben wird, wenn kein Strang sie mehr benutzt.
Erwähnt in
Artikel und Wochenreports, die diese Schwachstelle behandeln- Artikel PoC-Code für Linux-Lücke „Bad Epoll“ veröffentlicht 06.07.2026
- Artikel „Bad Epoll“: Linux-Kernel-Lücke erlaubt Root-Rechte und betrifft auch Android 03.07.2026