Die öffentliche Veröffentlichung eines Proof-of-concept (PoC) für das, was als DirtyDecrypt bekannt ist - auch in einigen Quellen wie DirtyCBC markiert - regiert die Alarme auf einer Kette von Fehlern in der Verwaltung des Kernel-Seiten-Cache, die lokal genutzt, erlaubt, Privilegien auf gefährdeten Linux-Systemen zu klettern.
Im Wesentlichen leitet DirtyDecrypt von einer Auslassung des Kopiermechanismus beim Schreiben (Copy-on-write, COW) innerhalb der Funktion ab, die eingehende Pakete in ein bestimmtes kryptographisches Kernel-Subsystem entfaltet: Wenn das Schreiben auf Seiten erfolgt, die mit der Cache-Schatte anderer Prozesse geteilt werden, muss der Kernel zunächst eine private Kopie erstellen; wenn dieser Schritt fehlt, kann ein lokaler Angreifer in Speicher einfügen, die in den Privilegien gehört.
Das spezifische Problem wird im CVE-2026-31635 festgestellt. und die verfügbare PoC zeigt, wie die Abwesenheit der COW-Wärter in rxgk _ decrypt _ skb die Primitiva des Schreibens erzeugt, die die Familien der Schwachstellen, die bekannt als Cody Fail, Dirty Frag und Fragnesia. Diese Familien teilen die gefährliche Funktion, die Änderung von "nur lesen" Daten aus einem Kontext ohne Privilegien, wenn die Cache-Seite beschädigt.
Exposition ist nicht universell: es beeinflusst nur Kernel kompiliert mit CONFIG _ RXGK aktiviert, die eine standardmäßig aktivierte Konfiguration in einigen modernen "Rollen" und Schneiden Distributionen wie Fedora, Arch Linux und openSUSE Tumbleweed ist. In Container-Umgebungen ist die Wirkung weiter kritisch, da ein Arbeitsknoten mit einem verletzlichen Kernel zu einem Fluchtvektor aus einem engagierten Pod zum Host werden kann.
Neben dem technischen Vektor gibt es eine Betriebsstunde: Das rasche Erscheinungsbild der Öffentlichkeit nach vorn ausnutzbaren Patches - oder auch nach öffentlichen Verpflichtungen, die den primitiven zeigen - hat zu Diskussionen über temporäre heiße Gegenmaßnahmen geführt. Eine der Diskussionen in der Kernel-Entwicklung schlägt einen "Killswitch" vor, der es einem Administrator erlauben würde, eine Kernel-Funktion zu zwingen, einen festen Wert zurückzugeben, ohne seinen Körper zu betreiben, als eine Notfallmilbe, bis die endgültige Anordnung verfügbar ist. Dieser Vorschlag bringt jedoch Risiken und Einschränkungen mit sich, die vor der Annahme in produktiven Umgebungen eine sorgfältige Betrachtung erfordern.
Wenn Sie Linux-Systeme verwalten, sind die sofort empfohlenen Aktionen klar: es priorisiert die Anwendung offizieller Updates Ihrer Distribution, die CVE-2026-31635 und verwandten Patches korrigieren; nach der Aktualisierung starten Sie die Hosts neu, um sicherzustellen, dass der neue Kernel aktiv ist. Überprüfen Sie, ob Ihr Kernel mit der betroffenen Option zum Beispiel ausgeführt wird grep -i CONFIG _ RXGK / Boot / config- $(uname -r) oder zgrep CONFIG _ RXGK / proc / config.gz wenn diese Datei existiert.
Wenn für Ihre Version kein Patch zur Verfügung steht und Sie nicht sofort aktualisieren können, reduziert es die Angriffsfläche, indem Sie den Zugriff auf unzuverlässige lokale Konten einschränken, Benutzer ohne Notwendigkeit, Code zu erstellen oder kritische Steckdosen zu erstellen, und die Container-Segregation zu stärken: es vermeidet unzuverlässige Workloads auf freigegebenen Knoten und wendet Kernel-Sicherheitsrichtlinien wie seccomp, SELinux / AppArmor und Kapazitätsgrenzen an. Es bewertet auch die Möglichkeit, erweiterte Support-Kernel oder beschleunigte Sicherheits-Repositories zu verwenden, die einige Distributionen anbieten, wenn ein dringendes Patch benötigt wird.
Das Erkennen einer retroaktiven Ausbeutung ist komplex, weil die Änderung der Cache-Seite nicht immer klare Spuren auf der Festplatte hinterlassen, bis der Inhalt geschrieben ist. Als Nachweis- und Minderungsmaßnahmen überprüfen Sie die Integrität sensibler Dateien mit Paketverifikationstools (z.B. rpm --verify or debsums), suchen Sie nach abnormen Änderungen in / etc / Schatten und / etc / Sudoers und überwachen ungewöhnliche Ereignisse auf der Kernel- und Systemebene, die die lokale Codeausführung mit höheren Privilegien angeben.
Diese Episode sollte als Teil eines jüngsten Trends verstanden werden: in einer Frage von Wochen haben mehrere LPES mit verschiedenen technischen Wurzeln (einschließlich Pack2TheRoot, CVE-2026-41651, und Privileg Management Fehler wie CVE-2026-46333) und die Gemeinschaft diskutiert nicht nur, wie zu parken, sondern wie man die Zeit zwischen Erkennung und effektiver Minderung reduziert. Weitere technische Informationen zu den Details der Sicherheitslücke und ihrer Klassifizierung finden Sie in der Registerkarte NVD CVE-2026-31635 und die Beziehung zu anderen jüngsten Vorfällen in CVE-2026-41651.
Als praktische Schlussfolgerung: Es wirkt mit Priorität bei der Anwendung von Patches und Kernel-Reworks, überprüft die Konfiguration Ihres Kernels zu wissen, ob Sie anfällig sind, begrenzt nicht-essentiellen lokalen Zugriff und behandelt Containerknoten als kritische Vermögenswerte, deren Kernelsicherheit so wichtig ist wie die Anwendungen, die sie ausführen. Die Geschwindigkeit der Verteilung der öffentlichen PoC macht proaktive Verteidigung und Betriebshygiene den besten Schutz gegen diese Bedrohungen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...