Bad Epoll: De AI van Anthropic heeft deze fundamentele kwetsbaarheid over het hoofd gezien

Beveiligingsonderzoeker Jaeyoung Chung heeft een kwetsbaarheid in de Linux-kernel aan het licht gebracht waardoor een gewone gebruiker zonder speciale rechten volledige controle over het systeem kan krijgen. „Bad Epoll”, officieel CVE-2026-46242, treft Linux-desktops, -servers en - Android. Er is een patch beschikbaar. Deze zaak is vooral opmerkelijk vanwege een bijkomstig verhaal: een AI had de betreffende code al onderzocht en deze kwetsbaarheid over het hoofd gezien.
Wat Bad Epoll doet
Het beveiligingslek zit in het epoll-subsysteem, een kernfunctie waarmee programma’s tegelijkertijd vele bestanden en netwerkverbindingen kunnen monitoren. Servers, netwerkdiensten en browsers maken er voortdurend gebruik van, en het kan niet worden uitgeschakeld. „Bad Epoll“ is een „use-after-free“-fout: twee kernelpaden ruimen tegelijkertijd hetzelfde interne object op, waarbij het ene pad het geheugen vrijmaakt terwijl het andere er nog naar schrijft. Die korte botsing volstaat om het kernelgeheugen te manipuleren en van een normaal account naar root te escaleren.
De crux zit hem in de timing. Het venster waarin beide paden elkaar raken, is slechts ongeveer zes machine-instructies breed. De exploit van Chung verbreedt dat venster en blijft het proberen zonder te crashen, totdat hij op geteste systemen in ongeveer 99% van de gevallen root-toegang verkrijgt. Twee details maken deze kwetsbaarheid ernstiger dan typische kernelbugs: volgens Chung kan deze worden geactiveerd vanuit de renderer-sandbox van Chrome, en strekt deze zich uit tot Android, wat bij de meeste Linux-kwetsbaarheden niet het geval is.
Waarom de AI de kwetsbaarheid over het hoofd zag
Beide problemen zijn terug te voeren op één enkele codewijziging uit 2023, in slechts 2.500 regels epoll-code. Het AI-model Mythos van Anthropic ontdekte de eerste van de twee race-condities en rapporteerde deze als CVE-2026-43074. Dat was een groot succes, aangezien dit soort race-bugs als moeilijk te detecteren worden beschouwd. Het model miste de tweede, „Bad Epoll“. Uiteindelijk ontdekte de menselijke onderzoeker Jaeyoung Chung deze en ontwikkelde hij een werkende aanval ervoor.
Chung noemt twee mogelijke redenen voor deze blinde vlek, zonder zich op een van beide vast te leggen. Het tijdvenster is zo klein dat de exacte volgorde moeilijk voor te stellen is, zelfs wanneer men de code bekijkt. En nadat de eerste kwetsbaarheid was verholpen, activeerde „Bad Epoll“ doorgaans niet langer de geheugenfoutdetector KASAN, waardoor het model geen runtime-traces meer had. Dit geval laat beide kanten van de medaille zien: AI kan complexe kernelbugs opsporen, maar kan toch falen bij subtiele race conditions.
Wie wordt hierdoor getroffen en wat moet er gebeuren
?
Kernelversies vanaf 6.4 zijn kwetsbaar indien de oplossing nog niet is geïmplementeerd. Oudere systemen op basis van Linux 6.1 zijn veilig, waaronder sommige apparaten met de ‘ Android ’, zoals de Pixel 8, omdat de foutieve code pas na die branch is toegevoegd. Volgens Chung wordt er nog gewerkt aan een ‘ Android ’-exploit. Er is enige geruststelling wat betreft het onmiddellijke risico: tot nu toe zijn er geen aanwijzingen voor aanvallen in het wild, en de enige werkende code is het proof-of-concept uit het kernelCTF-programma van Google. Ook belangrijk: de aanvaller heeft al lokale toegang tot het apparaat nodig, aangezien het beveiligingslek niet op afstand kan worden geactiveerd.
Gebruikers die handmatig patches toepassen, dienen de upstream-commit a6dc643c6931 te installeren. Alle anderen dienen te wachten op de backport van hun distributie en deze onmiddellijk te installeren. Aangezien epoll niet kan worden uitgeschakeld, is er geen tijdelijke oplossing; alleen de update lost het probleem op.
Bron(nen)
Top 10 Testrapporten
» Top 10 Multimedia Notebooks
» Top 10 Gaming-Notebooks
» Top 10 Budget Gaming Laptops
» Top 10 Lichtgewicht Gaming-Notebooks
» Top 10 Premium Office/Business-Notebooks
» Top 10 Budget Office/Business-Notebooks
» Top 10 Workstation-Laptops
» Top 10 Subnotebooks
» Top 10 Ultrabooks
» Top 10 Notebooks tot €300
» Top 10 Notebooks tot €500
» Top 10 Notebooks tot € 1.000
» De beste notebookbeeldschermen
» Top Windows Alternatieven voor de MacBook Pro 13
» Top Windows Alternatieven voor de MacBook Pro 15
» Top Windows alternatieven voor de MacBook 12 en Air
» Top 10 best verkopende notebooks op Amazon
» Top 10 Convertible Notebooks
» Top 10 Tablets
» Top 10 Tablets tot € 250
» Top 10 Smartphones
» Top 10 Phablets (>90cm²)
» Top 10 Camera Smartphones
» Top 10 Smartphones tot €500
» Top 10 best verkopende smartphones op Amazon






