Batizada de Bad Epoll (CVE-2026-46242), uma nova vulnerabilidade no subsistema epoll do kernel Linux permite a um usuário local sem privilégios obter acesso root em servidores Linux e dispositivos Android. A falha, uma clássica use-after-free disparada por uma condição de corrida entre duas threads do kernel, foi encontrada manualmente pelo pesquisador Jaeyoung Chung — em um trecho de código que o modelo Mythos, da Anthropic, já havia inspecionado e onde tinha encontrado apenas a “irmã” da falha (CVE-2026-43074). O exploit funciona em cerca de 99% das tentativas e pode ser disparado inclusive de dentro do sandbox de renderização do Chrome.
A CVE-2026-46242 afeta kernels Linux baseados na versão 6.4 em diante, quando ainda não incorporam o patch upstream. Sistemas mantidos em LTS baseados no Linux 6.1 — o que inclui alguns dispositivos Android como o Pixel 8 — não são vulneráveis, porque o commit problemático foi introduzido em 2023, após aquelas séries LTS terem sido bifurcadas. As atualizações de segurança já estão disponíveis e a orientação é aplicar o patch o quanto antes.
O epoll é a API do kernel Linux usada por virtualmente todo servidor moderno para monitorar eventos em muitos descritores de arquivo simultaneamente — do Nginx ao Chromium, do Redis à JVM. Não há workaround prático para desligar o epoll ou proteger a chamada; a única alternativa a longo prazo é o patch. No curto prazo, controles de execução (sandbox, seccomp, contêineres com read-only rootfs) reduzem a superfície, mas não eliminam a falha.
Até o momento, não há evidência de exploração in-the-wild. O único exploit público é a prova de conceito submetida ao kernelCTF do Google. Um exploit para Android ainda está em desenvolvimento, segundo o próprio pesquisador.
Bad Epoll é uma condição de corrida use-after-free: dois caminhos de fechamento do epoll executam simultaneamente, um libera um objeto de kernel enquanto o outro ainda o utiliza. A janela de corrida é de apenas seis instruções de CPU — extremamente pequena — mas o exploit desenvolvido por Chung usa quatro objetos epoll organizados em dois pares (um para disparar a corrida, outro como vítima) e converte a escrita use-after-free de 8 bytes em controle total sobre um objeto file, via um ataque de cross-cache.
A partir daí, o exploit obtém leitura arbitrária de memória do kernel usando /proc/self/fdinfo, sequestra o fluxo de execução e monta uma cadeia ROP para spawnar um shell root. É engenharia ofensiva de altíssimo nível, mas empacotada em um exploit que roda em 99% das tentativas — o que o torna operacionalmente utilizável.
“Bad Epoll (CVE-2026-46242) é uma condição de corrida use-after-free no subsistema epoll do kernel Linux. Esse bug permite que um processo sem privilégios se torne root, não apenas em desktops e servidores Linux mas também em dispositivos Android.” — Jaeyoung Chung, no advisory.
O ponto mais interessante deste caso não é técnico, é epistemológico. O mesmo commit de 2023 introduziu duas condições de corrida no epoll, em cerca de 2.500 linhas de código. O modelo Mythos, da Anthropic — que foi noticiado justamente por ter descoberto uma dessas duas falhas de forma autônoma — encontrou a CVE-2026-43074, mas passou por cima da irmã, Bad Epoll. Foi necessário um pesquisador humano, semanas depois, para achá-la.
Isso diz duas coisas ao mesmo tempo. A primeira é que modelos de IA já são competentes o suficiente para achar bugs de race condition em código de kernel, uma das classes mais difíceis de vulnerabilidade que existem. A segunda, e mais importante, é que os limites atuais são reais: uma vez que o primeiro bug foi corrigido, o Bad Epoll parou de gerar sinais claros no KASAN (o sistema de detecção de erros de memória do Linux), o que aparentemente fez a busca automatizada perder o rastro. A intuição humana, treinada para “cheirar” código análogo, ainda tem valor.
Estrategicamente, Bad Epoll se soma a uma lista crescente de falhas de escalada de privilégios no Linux nos últimos 18 meses — Copy Fail, Dirty Frag, Fragnesia, DirtyClone — que redesenhou o modelo de ameaças de qualquer sistema Linux multiusuário. A diferença é que Bad Epoll pertence à velha classe das race conditions, que são mais difíceis de descobrir e explorar, mas também mais difíceis de mitigar. Nenhum patch de userland resolve; é kernel ou nada.
Fonte: Security Affairs
Adobe alerta para aplicação urgente do boletim APSB26-68: falha crítica de path traversal (CVSS 10)…
Denúncia federal americana desvela como o identificador persistente da Microsoft ligou um alegado membro do…
Novo benchmark da OpenAI mede research taste em biologia computacional. GPT-5.6 Sol acerta 31,5%; Claude…
Chamada 'Scaling AI Safety for a Multi-Agent World' distribui ate US$ 1M por projeto para…
Nova abordagem do CSAIL, apresentada no ICRA 2026, usa um LLM para desambiguar instrucoes e…
Mamba-3 propoe recorrencia mais expressiva, atualizacao complexa e formulacao MIMO. Ganho de 0,6 a 1,2…