Uma nova falha divulgada no kernel Linux, chamada Bad Epoll (
CVE-2026-46242
), permite que um usuário comum, sem privilégios especiais, assuma o controle total de uma máquina como root. O problema afeta desktops Linux, servidores e Android, e já há uma correção disponível. O Bad Epoll está na mesma pequena faixa de código do kernel em que o modelo de IA mais avançado da Anthropic, o Mythos, havia encontrado recentemente outro bug. A IA detectou uma falha e deixou passar esta. O pesquisador Jaeyoung Chung encontrou o problema e desenvolveu um ataque funcional.
O epoll é um recurso padrão do Linux que permite que um programa monitore vários arquivos ou conexões de rede ao mesmo tempo. Servidores, serviços de rede e navegadores dependem dele, por isso ele não pode simplesmente ser desativado. O Bad Epoll é um bug do tipo use-after-free: duas partes do kernel tentam limpar o mesmo objeto interno ao mesmo tempo. Uma libera a memória enquanto a outra ainda está gravando nela, e essa colisão momentânea permite que o atacante corrompa a memória do kernel e escale de uma conta comum para root.
O desafio está no timing. A janela em que os dois caminhos se cruzam tem apenas cerca de seis instruções de máquina, então uma tentativa aleatória quase nunca acerta o ponto certo. O exploit criado por Chung amplia essa janela e faz novas tentativas sem travar o sistema, alcançando root em cerca de 99% das vezes nos sistemas testados. Há dois fatores que tornam a falha ainda mais perigosa: segundo Chung, o problema pode ser acionado de dentro do sandbox do renderer do Chrome, que bloqueia quase todos os outros bugs de kernel, e também pode atingir o Android, algo que a maioria das falhas de privilégio no Linux não consegue fazer.
Chung submeteu a falha como zero-day ao programa kernelCTF do Google, e os detalhes técnicos completos estão em seu relatório público. Não há sinal de uso em ataques reais. Até o momento desta publicação, a falha não aparece na lista Known Exploited Vulnerabilities da CISA, e o único código funcional é a prova de conceito do kernelCTF. Uma versão do exploit para Android ainda está em desenvolvimento.
Os dois bugs remontam a uma única mudança feita em 2023 no código do epoll. Chung afirma que o Mythos encontrou a primeira das duas falhas, agora identificada como
CVE-2026-43074
, cuja correção chegou no início de 2026. A Anthropic também afirmou separadamente que o Mythos encontrou bugs de escalada de privilégios no kernel Linux, embora não tenha vinculado publicamente esse trabalho ao Bad Epoll. Encontrar a primeira falha já foi um resultado relevante, porque bugs de condição de corrida são notoriamente difíceis de identificar.
Então por que a mesma IA não encontrou a falha irmã? Chung aponta dois motivos prováveis, fazendo questão de dizer que ninguém pode ter certeza. Primeiro, a janela de timing é muito pequena, o que torna difícil visualizar a sequência exata dos eventos mesmo analisando o código. Segundo, há pouca evidência em tempo de execução. Depois que a primeira falha é corrigida, o erro de memória do Bad Epoll geralmente não aciona o KASAN, principal detector de bugs do kernel, então nada indica que algo está errado.
Como o epoll não pode ser desativado, não existe solução alternativa. É preciso aplicar o commit upstream a6dc643c6931 ou instalar o backport da sua distribuição quando ele estiver disponível. Kernels baseados no 6.4 ou mais recentes são afetados, a menos que já tenham recebido a correção. Kernels mais antigos baseados no 6.1, incluindo alguns aparelhos Android como o Pixel 8, não são afetados, porque o bug só apareceu na linha 6.4.
O Bad Epoll se soma a uma família conhecida de falhas do kernel usadas para obter root no Android, depois de nomes como Bad Binder, Bad IO_uring e Bad Spin. Ele também chega em um período movimentado para falhas de escalada de privilégios no Linux, embora a maioria das recentes funcione de maneira diferente. O Copy Fail (
CVE-2026-31431
) surgiu em abril e já está na lista Known Exploited Vulnerabilities da CISA. Depois vieram a cadeia Dirty Frag, Fragnesia e DirtyClone, além do pedit COW. São bugs determinísticos de gravação no page cache, como o Dirty Pipe de 2022, sem disputa de corrida para vencer, o que os torna muito mais confiáveis de explorar. O Bad Epoll é o tipo antigo e mais difícil, uma corrida que precisa ser vencida, como o Dirty Cow de 2016.
Também já foi publicada uma prova de conceito para o
CVE-2026-31694
, uma falha separada no código do sistema de arquivos FUSE do kernel, descoberta pela empresa de pesquisa orientada por IA Bynario. Um usuário local com acesso ao FUSE pode fornecer ao kernel um sistema de arquivos malicioso e corromper a memória. Dependendo da configuração, isso pode significar acesso root, vazamento de dados ou uma queda do sistema. Como esse acesso é comum em containers e namespaces de usuário, o problema pesa mais como risco para servidores e containers do que para celulares. A Bynario não está sozinha. O Mythos também encontrou e explorou um bug remoto de execução de código, com 17 anos, no servidor NFS do FreeBSD (
CVE-2026-4747
), e pesquisadores da Anthropic também usaram seus modelos para revelar outras falhas de kernel.
O Bad Epoll é um contraponto útil. Ele mostra que condições de corrida são difíceis em todas as etapas: difíceis de encontrar, mesmo para uma IA de ponta; difíceis de corrigir, já que o primeiro patch foi insuficiente e uma correção adequada levou cerca de dois meses; e difíceis de explorar, por causa de uma janela de apenas seis instruções. Por enquanto, o bug que uma IA deixa passar ainda é o que um humano precisa detectar.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...