Eine zweite größere Linux-Schwachstelle wurde innerhalb von zwei Wochen bekannt gegeben. Diesmal veröffentlichte ein unabhängiger Sicherheitsforscher einen funktionierenden Exploit, nachdem ein koordiniertes Offenlegungs-Embargo zusammengebrochen war. Der Spitzname „Dirty Frag“ wurde dem Problem gegeben, das im selben Bereich des Linux-Kernels gefunden wurde, der auch den **Copy Fail**-Bug des letzten Monats hervorbrachte. Es ermöglicht auch jedem mit einem einfachen Konto auf einem betroffenen Computer, die vollständige administrative Kontrolle zu übernehmen. Copy Fail hatte Bedenken hervorgerufen, da es Hackern eine Fluchtmöglichkeit aus Cloud-Containern bot. Das bedeutet, dass eine kompromittierte Anwendung, die in einer angeblich isolierten Umgebung läuft, ausbrechen und die Kontrolle über den gesamten Host-Server übernehmen kann – ein erhebliches Risiko angesichts der Abhängigkeit der Cloud-Branche von Linux-Distributionen. Dirty Frag ermöglicht ebenfalls eine Container-Escape und betrifft gleichermaßen fast alle heute verwendeten Linux-Distributionen. Sie wurde von **Hyunwoo Kim** entdeckt und nutzt denselben zugrunde liegenden Designfehler in der Art und Weise aus, wie Linux Dateien im Speicher verwaltet. **Theori**, das Unternehmen, das Copy Fail mit Hilfe seiner eigenen KI-Tools entdeckte, stellte damals separat fest, dass seine eigenen Scans zusätzliche Schwachstellen im selben Bereich des Kernels aufgedeckt hatten, obwohl diese weiterhin privat offengelegt wurden. Kim meldete die von ihm entdeckte Schwachstelle am 30. April privat an die Linux-Maintainer und gab ihnen Zeit, Patches gemäß dem standardmäßigen koordinierten Offenlegungsprozess vorzubereiten. Aber am 7. Mai sagte Kim: „eine unabhängige Drittpartei hat den Exploit unabhängig veröffentlicht“, was ihn dazu veranlasste, am selben Tag seine vollständige Ausarbeitung und seinen eigenen funktionierenden Exploit zu veröffentlichen. Es ist nicht bekannt, wer die Drittpartei ist. „Da das Embargo derzeit gebrochen ist, existiert kein Patch oder **CVE**“, schrieb Kim in der oss-security-Mailingliste und fügte hinzu, dass er nach Rücksprache mit den Linux-Maintainern und auf deren Wunsch beschlossen habe, seine Ausarbeitung zu veröffentlichen. Die Dirty Frag-Schwachstelle wird als zwei verknüpfte Schwachstellen verfolgt – **CVE-2026-43284** und **CVE-2026-43500** –, die jeweils einen anderen Teil des Netzwerkcodes des Linux-Kernels betreffen. Laut Kims Ausarbeitung ist keine der beiden Schwachstellen für einen zuverlässigen Angriff allein ausreichend; erst die Verknüpfung beider macht den Exploit konsistent. Ähnlich wie bei Copy Fail korrumpiert der Angriff Dateien im Speicher, ohne die Originale auf der Festplatte zu berühren, wodurch Standard-Sicherheitsüberwachungstools ihn nicht erkennen können. **Red Hat** bestätigte, dass beide Schwachstellen seine Enterprise-Linux-Produkte betreffen, und gab eine Beratung heraus, in der sie als von wichtiger Schwere eingestuft wurden und Patches für unterstützte **RHEL**-Releases beschleunigt wurden. **AlmaLinux** und **Ubuntu** veröffentlichten beide bis zum 8. Mai Patches und Abhilfemaßnahmen. **SUSE**, **Debian**, **Fedora** und **Amazon Linux** hatten das Problem alle mit Patches in Arbeit anerkannt. ## Bevorstehende Patch-Welle Die Offenlegungen von Copy Fail und Dirty Frag sind eine frühe Veranschaulichung eines Problems, vor dem das britische **National Cyber Security Centre (NCSC)** nur wenige Tage zuvor gewarnt hatte, als der Chief Technology Officer der Behörde, **Ollie Whitehouse**, sagte, dass KI-Tools eine Flut dringender Software-Updates auslösen würden. Whitehouse erklärte, dass die Tools in den Händen von erfahrenen Forschern begannen, das enorme Ausmaß der „technischen Schulden“ – im Wesentlichen unsicheren oder veralteten Code –, die in kritischen Infrastrukturen eingebettet sind, aufzudecken. KI-Tools haben die Zeit verkürzt, die benötigt wird, um latente Schwachstellen zu entdecken, die sich über die letzten Jahrzehnte angesammelt haben, und verwandeln, was einst Jahre der Schwachstellensuche erforderte, in einen viel kürzeren Arbeitszeitraum. Der Patching-Prozess – der für Open-Source-Software wie Linux von einem globalen Netzwerk freiwilliger und korporativer Maintainer abhängt, die jeweils für ihre eigene Distribution verantwortlich sind – kann selbst unter idealen Bedingungen Schwierigkeiten haben, Schritt zu halten. Wenn ein Embargo bricht, wie bei Dirty Frag geschehen, verschwindet dieses Fenster vollständig. Dieser Druck ist auch in anderen Teilen der Open-Source-Community sichtbar. Im März setzte **HackerOne** sein Bug-Bounty-Programm aus und nannte ein „sich verschlechterndes Ungleichgewicht zwischen der Entdeckung von Schwachstellen und der Fähigkeit von Open-Source-Maintainern, diese zu beheben“, und führte die Verschiebung auf KI-gestützte Forschung zurück, die die Geschwindigkeit und das Volumen der Schwachstellenentdeckung erhöhte. „Deshalb ermutigen wir alle Organisationen, sich jetzt darauf vorzubereiten, wenn eine ‚Patch-Welle‘ eintrifft“, schrieb Whitehouse in seinem Blog und beschrieb die Erwartung der Behörde, dass es zu einer Flut von Software-Updates kommen würde, die eine dringende Anwendung über gesamte Technologiestacks hinweg erfordern. Das NCSC sagte, dass Administratoren, die sich jetzt auf eine Patch-Welle vorbereiten, dazu beitragen könnten, spätere Störungen zu begrenzen, und warnte, dass Verzögerungen bei der Anwendung von Korrekturen während Perioden erhöhter Schwachstellenentdeckung das Kompromittierungsrisiko erheblich erhöhen könnten. [](https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record)