Uma vulnerabilidade crítica no kernel do Linux, batizada de “Bad Epoll” e identificada como CVE-2026-46242, permite que qualquer usuário sem privilégios obtenha acesso root em servidores, desktops e dispositivos Android. A falha, divulgada em julho de 2026 pelo pesquisador Jaeyoung Chung, afeta versões do kernel de 5.10 a 6.11, já possui prova de conceito pública com 99% de eficácia e foi a única vulnerabilidade de escalonamento de privilégios que escapou da IA da Anthropic na mesma área de código.
A falha no subsistema epoll
O subsistema epoll é o mecanismo central de multiplexação de I/O no kernel do Linux, usado por servidores web como nginx e Apache, bancos de dados, runtimes de containers e até pelo loop de eventos do Android. A vulnerabilidade CVE-2026-46242, classificada com CVSS 7.8 (alta), reside em fs/eventpoll.c e combina duas condições de corrida com use-after-free (UAF). O problema ocorre quando duas threads do kernel tentam liberar o mesmo objeto interno simultaneamente durante o fechamento de descritores de arquivo epoll aninhados, segundo detalhou o pesquisador na lista oss-security em 8 de julho de 2026.
Uma única alteração no código, incorporada em 2023, introduziu as duas condições de corrida em menos de 2.500 linhas. A primeira foi encontrada pela IA Mythos, da Anthropic, e registrada como CVE-2026-43074. A segunda — Bad Epoll — passou despercebida pela ferramenta automatizada. O bug persistiu no kernel por quase três anos, sobrevivendo a auditorias que detectaram a falha vizinha, conforme relatou o CyberSec Guru.
Como o ataque funciona
O ataque não requer capacidades especiais, namespaces de usuário ou configuração além de CONFIG_EPOLL, que é ativado por padrão em qualquer distribuição Linux. O pesquisador Jaeyoung Chung desenvolveu um exploit que agrupa quatro objetos epoll em dois pares: um par dispara a corrida, enquanto o outro se torna a vítima. A janela de corrida tem apenas seis instruções de CPU de largura, mas o exploit amplia essa janela e usa um loop de retentativa que nunca derruba o kernel, alcançando 99% de confiabilidade nos testes.
A partir do UAF de 8 bytes, o exploit converte o bug em um UAF sobre um objeto de arquivo e usa um ataque cross-cache para controlar totalmente o conteúdo do arquivo. Com esse controle, obtém leitura arbitrária da memória do kernel através de /proc/self/fdinfo e, por fim, sequestra o fluxo de controle com uma cadeia ROP para obter um shell root. O Security Affairs confirmou que o exploit pode ser disparado de dentro do sandbox do Chrome, abrindo caminho para cadeias de ataque que combinam execução de código no renderer com escalonamento de privilégio no kernel.
Produtos e versões afetadas
A abrangência da falha é ampla porque o epoll é um recurso fundamental do kernel, sem módulo para descarregar ou configuração para desativar. Não há kill-switch — a única solução é aplicar o patch. A tabela resume os sistemas afetados:
| Plataforma | Versões do kernel | Impacto |
|---|---|---|
| Servidores Linux (RHEL, Ubuntu LTS, Debian, SUSE) | 5.10 a 6.11 | Root completo via usuário local |
| Desktops (Fedora, Arch, Ubuntu Desktop) | 5.10 a 6.11 | Root completo via usuário local |
| Android (maioria dos dispositivos desde 2021) | 5.10+ | Root, acesso ao keystore e secure element |
| Hosts de container e nós Kubernetes | 5.10 a 6.11 | Escape de isolamento entre tenants |
| Chrome (renderer sandbox) | 5.10 a 6.11 | Encadeamento: code exec → root kernel |
Segundo o Threat-Modeling.com, a capacidade de obter root no Android é particularmente rara. Dos aproximadamente 130 bugs explorados no kernelCTF do Google, apenas cerca de dez permitem root no Android. Bad Epoll é um deles.
A IA que não viu tudo
A descoberta de Bad Epoll reacendeu o debate sobre os limites da detecção automatizada de vulnerabilidades. A IA Mythos, da Anthropic, analisou a mesma área de código onde residia a falha e encontrou CVE-2026-43074, uma condição de corrida adjacente. Bad Epoll, no entanto, passou despercebida. Dois fatores contribuíram: a janela de corrida de apenas seis instruções dificulta a visualização do interleaving exato de threads, e o UAF normalmente não aciona o KASAN — o principal detector de erros de memória do kernel — após a correção de CVE-2026-43074.
O pesquisador Jaeyoung Chung relatou o bug ao programa kernelCTF do Google, que recompensa exploits do kernel Linux com mais de US$ 71.000. A correção também não foi simples: o primeiro patch dos mantenedores não resolveu totalmente o problema, e uma correção definitiva só chegou dois meses após o relato inicial — um prazo longo para um kernel que costuma tratar falhas de segurança com urgência.
Cronologia do incidente
- 2023 — Um commit no kernel Linux introduz duas condições de corrida no subsistema epoll.
- 2026 (início) — A IA Mythos, da Anthropic, encontra CVE-2026-43074 na mesma área de código, mas não detecta Bad Epoll.
- Julho de 2026 — Jaeyoung Chung relata Bad Epoll ao kernelCTF do Google.
- 4 de julho de 2026 — Primeiras divulgações técnicas publicadas; CVSS 7.8 confirmado.
- 6 de julho de 2026 — Security Affairs e demais veículos confirmam a falha.
- 7 de julho de 2026 — Código de prova de conceito torna-se público.
- 8 de julho de 2026 — Detalhes completos publicados na lista oss-security; patch definitivo disponível.
O que fazer agora
A ação imediata é aplicar as atualizações de kernel distribuídas pelos fabricantes. Red Hat, Canonical, Debian, SUSE e Google já preparam patches coordenados. Administradores devem priorizar servidores multi-tenant e hosts de container, onde usuários não confiáveis coexistem com workloads sensíveis. Restringir acesso shell local em sistemas críticos reduz a janela de exposição enquanto o patch não é aplicado.
No Android, administradores de MDM devem acelerar atualizações OTA assim que o patch de segurança mensal do Google incluir a correção. O Copy Fail e o Bad Epoll mostraram que falhas de escalonamento no kernel Linux são recorrentes; manter sistemas atualizados permanece a defesa mais eficaz.
Leia também: DirtyClone: nova falha do kernel Linux dá root total
Fontes
- Openwall oss-security — CVE-2026-46242 (“Bad Epoll”) local privilege escalation on Linux, including Android
- Security Affairs — Bad Epoll Flaw Gives Attackers Root Access on Linux and Android
- Threat-Modeling.com — CVE-2026-46242 ‘Bad Epoll’: Linux Kernel 0-Day Local Privilege Escalation to Root
- The CyberSec Guru — Bad Epoll: Inside CVE-2026-46242, the Race Condition an AI Model Read Right Past
- CyberSecurityNews — Bad Epoll (CVE-2026-46242): Linux Kernel Flaw Disclosure