Sicherheitsforscher **Hyunwoo Kim** enthüllte heute den **Dirty Frag**-Exploit und veröffentlichte einen Proof-of-Concept (PoC). Diese lokale Privilege Escalation wurde vor etwa neun Jahren in der algif_aead kryptographischen Algorithmus-Schnittstelle des Linux-Kernels eingeführt. **Wie Dirty Frag funktioniert** **Dirty Frag** nutzt das Fragmentfeld einer Kernel-Datenstruktur aus, indem es zwei separate Kernel-Schwachstellen verkettet: die xfrm-ESP Page-Cache Write-Schwachstelle und die RxRPC Page-Cache Write-Schwachstelle. Dies ermöglicht es Angreifern, geschützte Systemdateien im Speicher unbefugt zu ändern und so eine Privilege Escalation zu erreichen. Laut Kim gehört **Dirty Frag** zur selben Klasse wie die Linux-Schwachstellen **Dirty Pipe** und **Copy Fail**, nutzt jedoch eine andere Kernel-Datenstruktur. "Wie bei der vorherigen Copy Fail-Schwachstelle ermöglicht Dirty Frag ebenfalls eine sofortige Privilege Escalation auf allen wichtigen Distributionen, und es verkettet zwei separate Schwachstellen", erklärte Kim. Er fügte hinzu: "Dirty Frag ist ein Fall, der die Bug-Klasse erweitert, zu der Dirty Pipe und Copy Fail gehören. Da es sich um einen deterministischen Logikfehler handelt, der nicht von einem Timing-Fenster abhängt, ist keine Race Condition erforderlich, der Kernel stürzt beim Fehlschlagen des Exploits nicht ab und die Erfolgsquote ist sehr hoch." **Betroffene Distributionen** Diese Kernel-Privilege-Escalation betrifft eine breite Palette von Linux-Distributionen, darunter Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed und Fedora. Patches sind für diese Distributionen noch nicht verfügbar.  *Dirty Frag Demo (Hyunwoo Kim)* Kim veröffentlichte die vollständige **Dirty Frag**-Dokumentation und einen PoC-Exploit, nachdem ein Embargo für die vollständige öffentliche Offenlegung am 7. Mai 2026 gebrochen wurde, als eine unabhängige dritte Partei den Exploit unabhängig veröffentlichte. "Da das Embargo derzeit gebrochen ist, gibt es keinen Patch oder CVE. Nach Rücksprache mit den Maintainern auf [email protected] und auf deren Wunsch wird dieses Dirty Frag-Dokument veröffentlicht", sagte Kim. **Minderung** Um Systeme vor Angriffen zu schützen, können Linux-Benutzer den folgenden Befehl verwenden, um die anfälligen Kernel-Module esp4, esp6 und rxrpc zu entfernen: ```bash sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true" ``` *Hinweis: Dies beeinträchtigt IPsec VPNs und AFS verteilte Netzwerkdateisysteme.* **Copy Fail Ausnutzung** Diese neue Zero-Day-Offenlegung erfolgt, während Linux-Distro-Maintainer noch Patches für **Copy Fail** ausrollen, eine weitere Root-Privilege-Escalation-Schwachstelle, die derzeit aktiv in Angriffen ausgenutzt wird. Die **Cybersecurity and Infrastructure Security Agency (CISA)** fügte **Copy Fail** letzte Woche ihrem Katalog bekannter ausgenutzter Schwachstellen (KEV) hinzu und wies Bundesbehörden an, ihre Linux-Geräte innerhalb von zwei Wochen, bis zum 15. Mai, zu sichern. "Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und birgt erhebliche Risiken für das föderale Unternehmen", warnte die US-Cybersicherheitsbehörde zu diesem Zeitpunkt. "Wenden Sie Minderungsmaßnahmen gemäß den Anweisungen des Herstellers an, befolgen Sie die geltenden BOD 22-01-Richtlinien für Cloud-Dienste oder stellen Sie die Nutzung des Produkts ein, wenn Minderungsmaßnahmen nicht verfügbar sind." Im April haben Linux-Distributionen eine weitere Root-Privilege-Escalation-Schwachstelle (genannt Pack2TheRoot) gepatcht, die nach einem Jahrzehnt entdeckt wurde, seit sie im **PackageKit**-Daemon eingeführt wurde. *Update 08. Mai, 09:58 EDT: Die beiden Page-Cache-Write-Schwachstellen, die von Dirty Frag verkettet werden, werden nun unter den folgenden CVE-IDs verfolgt: die xfrm-ESP-Schwachstelle wurde **CVE-2026-43284** zugewiesen, und die RxRPC-Schwachstelle ist nun **CVE-2026-43500**.*  ## 99% dessen, was Mythos gefunden hat, ist immer noch ungepatcht. KI verkettete vier Zero-Days zu einem Exploit, der sowohl Renderer- als auch OS-Sandboxes umging. Eine Welle neuer Exploits steht bevor. Auf dem Autonomous Validation Summit (12. & 14. Mai) erfahren Sie, wie autonome, kontextreiche Validierung das Ausnutzbare findet, beweist, dass Kontrollen standhalten, und den Behebungszyklus schließt. [Sichern Sie sich Ihren Platz](https://hubs.li/Q04crVgD0)