O kernel Linux ganhou uma nova falha de elevação de privilégio apelidada “Bad Epoll” (CVE-2026-46242). Descoberta pelo pesquisador Jaeyoung Chung, ela explora uma condição de corrida no subsistema epoll e permite que um usuário comum obtenha acesso root em servidores, desktops e celulares Android com kernel 6.4 ou mais recente. O exploit é tão confiável que chega a 99% de sucesso e consegue escapar da sandbox do Chrome.
Pontos-chave
- O que é: Bad Epoll é uma falha de “use-after-free” (UAF) no subsistema epoll do kernel Linux, rastreada como CVE-2026-46242.
- O que permite: um usuário sem privilégios locais escalar para root e assumir o controle total do dispositivo.
- Quem afeta: Linux desktop, servidores e Android com kernel 6.4 ou superior. Kernels 6.1, como o do Pixel 8, não são afetados.
- O que fazer: aplicar o commit
a6dc643c6931do kernel ou aguardar a atualização da distribuição e do fabricante do celular.
O que é o Bad Epoll
O Bad Epoll é uma vulnerabilidade de use-after-free localizada na função ep_remove() do kernel Linux, conforme detalhou o Cyber Security News. O epoll é um mecanismo antigo e onipresente do Linux que permite a um programa monitorar muitos arquivos e conexões de rede ao mesmo tempo. Servidores, navegadores e serviços de rede dependem dele, e por isso não dá para simplesmente desligá-lo como mitigação.
O problema acontece quando duas partes do kernel tentam limpar o mesmo objeto interno ao mesmo tempo. Uma libera a memória enquanto a outra ainda está escrevendo nela. Essa colisão breve permite que o invasor corrompa a memória do kernel e suba de uma conta comum para root. O pesquisador Jaeyoung Chung submeteu a falha como zero-day ao programa kernelCTF do Google, que paga mais de 71 mil dólares por exploits funcionais do kernel Linux.
Como o ataque funciona
O detalhe técnico é fascinante e assustador. A janela de tempo em que as duas rotinas colidem tem apenas cerca de seis instruções de máquina de largura, o que faz com que uma tentativa aleatória quase nunca acerte o alvo. Segundo o The Hacker News, o exploit de Chung alarga essa janela e repete sem travar o kernel, alcançando aproximadamente 99% de confiabilidade nos sistemas testados.
O ataque organiza quatro objetos epoll em dois pares. Fechar um par dispara a corrida enquanto o outro vira o objeto vítima, transformando uma escrita UAF de 8 bytes em um UAF sobre um objeto de arquivo por meio de um ataque cross-cache. A partir daí, o invasor obtém leitura arbitrária da memória do kernel via /proc/self/fdinfo e sequestra o fluxo de execução com uma cadeia ROP (return-oriented programming) para abrir um shell root. Dois fatores tornam o cenário grave: o exploit parte de dentro da sandbox do renderer do Chrome, que bloqueia quase todos os outros bugs de kernel, e alcança o Android.
Por que afeta o Android
A maioria das falhas de elevação de privilégio do Linux não chega ao Android porque depende de módulos opcionais que não existem nos celulares. O Bad Epoll é diferente: o epoll é um componente central do kernel, impossível de desabilitar sem quebrar o sistema operacional e os navegadores. Por isso, qualquer aparelho Android que rode kernel 6.4 ou mais recente carrega o código vulnerável, a menos que já tenha recebido o patch.
Para o público brasileiro isso importa muito. O Android domina o mercado de smartphones no país, presente na grande maioria dos aparelhos em uso, e costuma ser alvo recorrente de vulnerabilidades específicas de mobile. A boa notícia é que kernels baseados na versão 6.1, como o do Pixel 8, não são afetados, porque o bug só entrou no código em 2023, junto com a versão 6.4. A má notícia é o ritmo lento de atualização do Android: a correção precisa atravessar o projeto AOSP, depois o fabricante do chip e, por fim, a montadora do celular — um caminho que pode levar meses em modelos mais baratos.
A IA Mythos errou a irmã
Há um capítulo curioso nessa história que envolve inteligência artificial. Um único commit do kernel, de 2023, introduziu duas condições de corrida distintas no mesmo trecho de cerca de 2.500 linhas do código do epoll. A primeira, rastreada como CVE-2026-43074, foi descoberta pelo modelo de IA Mythos, da Anthropic — a mesma empresa que recentemente teve modelos proibidos nos Estados Unidos por questões de segurança. O patch dessa primeira falha chegou no início de 2026.
O Bad Epoll era a falha irmã, mais difícil de perceber, e o Mythos a deixou passar. Chung aponta dois motivos prováveis. Primeiro, a janela de tempo é tão pequena que a sequência exata de eventos é difícil de imaginar mesmo diante do código. Segundo, há pouca evidência em tempo de execução: depois que a primeira falha foi corrigida, o erro de memória do Bad Epoll raramente dispara o KASAN, o principal detector de bugs do kernel, então nada sinaliza que algo está errado. Foi preciso um humano para caçar o que a IA não viu.
Um ano difícil para o kernel
O Bad Epoll entra numa família clássica de bugs de kernel usados para fazer root em Android, ao lado de nomes como Bad Binder, Bad IO_uring e Bad Spin — todos batizados com o prefixo “Bad”. A tabela abaixo resume as falhas recentes de elevação de privilégio do kernel em 2026:
| Falha (2026) | Identificador | Mecanismo | Na lista da CISA |
|---|---|---|---|
| Bad Epoll | CVE-2026-46242 | Condição de corrida + UAF no epoll | Não (ainda) |
| Copy Fail | CVE-2026-31431 | Escrita no cache de páginas | Sim |
| Pedit COW | CVE-2026-46331 | Escrita no cache de páginas | Em avaliação |
O ano de 2026 está especialmente movimentado para falhas de elevação de privilégio no Linux, embora a maioria funcione de forma diferente. O Copy Fail (CVE-2026-31431), divulgado em abril, já entrou no catálogo de vulnerabilidades conhecidas da CISA. Depois vieram cadeias como Dirty Frag, Fragnesia, DirtyClone e pedit COW.
Essas falhas recentes são bugs determinísticos de escrita no cache de páginas, parecidos com o célebre Dirty Pipe de 2022, sem a dependência de corrida que torna exploits como o Bad Epoll tão trabalhosos. Apesar da família numerosa, a boa notícia é que, até o fechamento desta matéria, não há sinal de uso do Bad Epoll em ataques reais: ele não está na lista da CISA e o único código funcional é a prova de conceito do kernelCTF. Uma versão Android do exploit ainda está em desenvolvimento.
Como se proteger agora
Como o epoll não pode ser desativado, não existe mitigação intermediária. A correção definitiva é o commit a6dc643c6931 do kernel upstream, já disponível. Em servidores e desktops, basta instalar a atualização do kernel da sua distribuição assim que ela chegar. O cuidado extra vale para quem mantém servidores na nuvem: verifique se a imagem base já inclui o patch antes de subir novas instâncias.
No celular Android, a recomendação prática é manter o sistema sempre atualizado e não adiar as atualizações de segurança mensais. Vale lembrar um detalhe técnico importante: os mantenedores do kernel chegaram a lançar um primeiro patch que não resolveu totalmente o problema, e a correção correta demorou quase dois meses após a divulgação inicial. Por isso, confirme com a sua distribuição ou fabricante se a versão instalada contém o fix definitivo, e não apenas a tentativa anterior.
Referências
- The Hacker News — New “Bad Epoll” Linux Kernel Flaw Lets Unprivileged Users Gain Root, Hits Android
- Cyber Security News — New “Bad Epoll” 0-Day Vulnerability Allows Root Access on Linux Servers and Android Devices
- DeafNews — Bad Epoll: Linux Kernel Bug Roots Android, Escapes Chrome Sandbox
- LavX News — Bad Epoll Linux kernel flaw can give local users root on Linux and Android