Nieuwe “Bad Epoll” Linux-kernelfout zorgt ervoor dat onbevoegde gebruikers root kunnen krijgen en treft Android

Een nieuw onthulde Linux-kernelfout genaamd Slechte Epoll (CVE-2026-46242) geeft een gewone gebruiker zonder speciale toegang de volledige controle over een machine als root. Het treft Linux-desktops, -servers en Android, en er is een oplossing voor.

Slechte Epoll zit in hetzelfde kleine stuk kernelcode waar het krachtigste AI-model van Anthropic, Mythosheb onlangs een andere bug gevonden.

De AI ontdekte één fout en miste deze. Een onderzoeker, Jaeyoung Chung, vond het en bouwde een werkende aanval.

Hoe de bug werkt

Epoll is een standaard Linux-functie waarmee een programma veel bestanden of netwerkverbindingen tegelijk kan bekijken. Servers, netwerkdiensten en webbrowsers leunen er allemaal op. Je kunt het niet zomaar uitschakelen.

Bad Epoll is een ‘use-after-free’-bug. Twee delen van de kernel proberen hetzelfde interne object tegelijkertijd op te ruimen. De een maakt het geheugen vrij terwijl de ander er nog in schrijft. Door die korte botsing kan een aanvaller het kernelgeheugen beschadigen en vervolgens van een normaal account naar de root klimmen.

De vangst is timing. Het venster waar de twee paden samenkomen is slechts ongeveer zes machine-instructies breed, dus een willekeurige poging komt er bijna nooit in terecht. De exploit van Chung verbreedt dat venster en probeert het opnieuw zonder te crashen, waarbij het in 99% van de gevallen de root bereikt op geteste systemen.

Twee dingen maken het gevaarlijker: door zijn account kan het worden geactiveerd vanuit de renderer-sandbox van Chrome, die bijna elke andere kernelbug blokkeert, en het kan Android bereiken, wat de meeste Linux-privilegebugs niet kunnen.

Chung heeft de fout als een zero-day ingediend bij het kernelCTF-programma van Google, en de volledige technische details staan ​​in zijn openbare artikel. Er zijn geen aanwijzingen dat het bij echte aanvallen is gebruikt: op het moment van schrijven staat het niet op de lijst met bekende uitgebuite kwetsbaarheden van CISA, en de enige werkende code is die kernelCTF proof of concept. Er wordt nog gewerkt aan een Android-versie van de exploit.

Beide bugs zijn terug te voeren op een enkele wijziging uit 2023 in de epoll-code. Chung zegt dat Mythos de eerste van de twee heeft gevonden, nu gevolgd als CVE-2026-43074, met een fix-landing eerder in 2026.

Anthropic heeft apart gezegd dat Mythos fouten in de escalatie van privileges in de Linux-kernel heeft gevonden, hoewel het dat werk niet publiekelijk aan Bad Epoll heeft gekoppeld. Het vinden van de eerste was een echt resultaat, omdat bugs in raceomstandigheden notoir moeilijk te herkennen zijn.

Dus waarom heeft dezelfde AI de fout tussen broers en zussen gemist? Chung geeft twee waarschijnlijke redenen en zegt voorzichtig dat niemand er zeker van kan zijn.

  • Ten eerste is het timingvenster klein, dus de exacte volgorde van gebeurtenissen is moeilijk voor te stellen, zelfs als je naar de code staart.
  • Ten tweede is er weinig bewijs tijdens runtime.

Zodra de eerste bug is hersteld, activeert de geheugenfout van Bad Epoll meestal niet KASAN, de belangrijkste bugdetector van de kernel, dus niets wijst erop dat er iets mis is.

Epoll kan niet worden uitgeschakeld, dus er is geen oplossing. Pas upstream commit a6dc643c6931 toe, of installeer de backport van uw distributie wanneer deze landt. Kernels gebouwd op 6.4 of nieuwer worden getroffen, tenzij ze de oplossing al hebben.

Oudere op 6.1 gebaseerde kernels, waaronder sommige Android-telefoons zoals de Pixel 8, zijn dat niet, omdat de bug in 6.4 arriveerde.

Een slecht jaar voor de Linux-kernel

Bad Epoll sluit zich aan bij een bekende familie van kernelbugs die worden gebruikt om Android te rooten, in navolging van eerdere vermeldingen genaamd Bad Binder, Bad IO_uring en Bad Spin.

Het belandt ook in een drukke periode wat betreft Linux-privilegefouten, hoewel de meeste recente anders werken. Copy Fail (CVE-2026-31431) is in april geland en staat nu op de lijst met bekende uitgebuite kwetsbaarheden van CISA. De Dirty Frag-keten, Fragnesia, DirtyClone en Pedit COW kwamen erna.

Beide zijn deterministische bugs bij het schrijven van pagina’s in de cache, zoals Dirty Pipe (2022), zonder dat er een race om te winnen is, waardoor ze veel betrouwbaarder zijn in het gebruik. Bad Epoll is van het oudere, hardere soort: een race die je moet winnen, zoals Dirty Cow (2016).

Er is ook een openbare proof-of-concept verschenen voor CVE-2026-31694, een afzonderlijke fout in de FUSE-bestandssysteemcode van de kernel, gevonden door het AI-gestuurde onderzoeksbureau Bynario. Een lokale gebruiker met FUSE-toegang kan de kernel een kwaadaardig bestandssysteem geven en het geheugen beschadigen.

Afhankelijk van de configuratie kan dit root-toegang, datalekken of een crash betekenen. Omdat die toegang gebruikelijk is in containers en gebruikersnaamruimten, komt het meer neer op een server- en containerrisico dan op een telefoonrisico.

Bynario is niet de enige. Mythos vond en exploiteerde ook een 17 jaar oude fout bij het uitvoeren van externe code op de NFS-server van FreeBSD (CVE-2026-4747), en Anthropic-onderzoekers hebben hun modellen gebruikt om andere kernelfouten aan het licht te brengen.

Bad Epoll is een nuttig contrapunt. Het laat zien dat de raceomstandigheden in elke fase moeilijk zijn: moeilijk te vinden, zelfs voor een leidende AI; moeilijk op te lossen, aangezien de eerste patch tekortschoot en een correcte patch ongeveer twee maanden duurde; en moeilijk te exploiteren, via een venster van slechts zes instructies breed. Voorlopig is de bug waar een AI langs loopt nog steeds degene die een mens moet vangen.

Thijs Van der Does