Copy Fail und die KI: Forscher patzen bei Offenlegung von Linux-Lücke
Inhalt
Vor wenigen Tagen haben Sicherheitsforscher von Theori eine Copy Fail genannte Sicherheitslücke im Linux-Kernel mit KI aufgedeckt, mit der sich Angreifer auf anfälligen Systemen Root-Rechte verschaffen können. Die Vorgehensweise bei der Offenlegung stößt in der Cybersecurity- und Linux-Community jedoch auf reichlich Kritik(öffnet im neuen Fenster). Auch das Ausmaß der KI-Nutzung der Theori-Forscher wird dabei kritisiert.
Copy Fail ist als CVE-2026-31431(öffnet im neuen Fenster) registriert und ermöglicht es Angreifern mit einfachen Benutzerrechten, anhand eines nur wenige Codezeilen umfassenden Skriptes auf so ziemlich jedem seit 2017 veröffentlichten Linux-System Root-Rechte zu erlangen. Ein entsprechender Exploit ist bereits seit dem 29. April 2026 öffentlich auf Github verfügbar(öffnet im neuen Fenster).
Dass die US-Cybersicherheitsbehörde Cisa Copy Fail schon am 1. Mai in ihre Liste aktiv ausgenutzter Sicherheitslücken aufnahm(öffnet im neuen Fenster), überrascht vor diesem Hintergrund kaum. Besonders problematisch daran ist jedoch, dass für die meisten gängigen Linux-Distributionen zum Zeitpunkt der Offenlegung noch gar kein Patch verfügbar war.
Versteckt in einer Flut von Kernel-CVEs
Ursache dafür ist, dass Theori die Maintainer der Distributionen nicht in den Offenlegungsprozess eingebunden hatte. Stattdessen haben die Forscher ihren Fund nur an die Entwickler des Linux-Kernels gemeldet. Diese behoben das Problem auch, jedoch war Copy Fail für sie nur eine CVE-ID in einer langen Liste anderer Probleme mit eigenen CVE-Kennungen, deren Auswirkungen auf die einzelnen Distributionen sie oft nicht richtig einschätzen können.
Wie der Sicherheitsforscher Will Dormann auf Mastodon schildert(öffnet im neuen Fenster), wurden die Maintainer der Distributionen daher von Copy Fail völlig überrascht. "Es wurde tatsächlich den Kernel-Entwicklern gemeldet. Und es erhielt eine CVE-Nummer. Eine einzige CVE, die in der Flut aller Linux-Kernel-CVEs unterging", so der Forscher. Für die Distributions-Maintainer habe es jedoch keinerlei Warnung gegeben, dass eine dieser CVEs möglicherweise besonders wichtig sei.
Der Theori-CEO Brian Pak verteidigte die Vorgehensweise auf X(öffnet im neuen Fenster) und erklärte, sein Team habe sich bei der Koordination auf das Kernel-Sicherheitsteam konzentriert, da eine Abstimmung mit den einzelnen Linux-Distributionen "aufgrund unterschiedlicher Richtlinien zunehmend schwieriger geworden" sei. Pak gestand jedoch auch, dass es bezüglich der koordinierten Offenlegung Potenzial für Verbesserungen gebe.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.