Análise Principal
Segurança & Risco5 min

Falha 'Bad Epoll' no kernel Linux dá acesso root a qualquer usuário sem privilégios; patch aguarda distribuições

Monitor com terminal exibindo acesso root em sala de servidores às 3 da manhã, com racks piscando ao fundo

CVE-2026-46242, 'Bad Epoll', permite que qualquer conta local sem privilégios obtenha root em servidores Linux e Android com kernel 6.4+. A correção existe desde abril; a maioria das distribuições ainda não publicou o backport.

CVE-2026-46242, batizada de "Bad Epoll" pelo pesquisador Jaeyoung Chung da CompSec Lab da Universidade Nacional de Seul (orientador: Byoungyoung Lee), converte qualquer conta local sem privilégios em acesso root em hosts com kernel Linux 6.4 ou superior. A confiabilidade do exploit construído por Chung chegou a 99% nos alvos testados, apesar de a janela de corrida ter apenas seis instruções de largura.


Como a falha funciona


O subsistema afetado é o epoll, o mecanismo que serviços de rede, navegadores e praticamente todo servidor Linux moderno usa para monitorar múltiplos descritores de arquivo de forma eficiente. A falha é uma condição de corrida do tipo use-after-free: quando dois descritores epoll configurados para se monitorar mutuamente são fechados quase ao mesmo instante, o kernel libera uma região de memória enquanto outra thread ainda escreve nela. Chung transformou esse estado inconsistente em leitura e escrita arbitrárias no espaço do kernel via /proc/self/fdinfo e, em seguida, executou uma cadeia ROP para escalar privilégios.


O exploit pode ainda ser acionado de dentro do renderer do Chrome em modo sandbox. Nesse cenário, um atacante com execução de código no renderer encadeia a falha para sair do sandbox e assumir controle completo da máquina hospedeira, tornando plausível uma cadeia de comprometimento que começa em JavaScript malicioso.


Patch no mainline desde abril; maioria das distribuições sem backport


A correção entrou no mainline do kernel em 24 de abril de 2026, no commit a6dc643c6931, mas permaneceu sem anúncio público por 70 dias. Os pacotes oficiais de Ubuntu LTS, Debian Stable e Red Hat Enterprise Linux ainda não disponibilizaram o backport até a publicação deste artigo. Dispositivos Android Pixel 10 e modelos com kernel 6.6 ou posterior estão vulneráveis e aguardam a atualização mensal de segurança do Google; aparelhos com kernel 6.1, como o Pixel 8, ficam fora do escopo.


A prova de conceito completa, com repositório público em github.com/J-jaeyoung/bad-epoll, foi validada nos builds lts-6.12.67 e cos-121-18867.294.100.


O auditor de IA que acertou metade


O mesmo trecho de 2.500 linhas do subsistema epoll onde a falha se esconde havia sido revisado pelo modelo Mythos da Anthropic durante exercício de auditoria de segurança. A IA identificou uma condição de corrida adjacente, catalogada como CVE-2026-43074, resultado notável dado que race conditions estão entre os bugs mais difíceis de localizar mesmo para auditores experientes. A falha que Chung divulga agora passou em branco.


O episódio evidencia um limite claro dos modelos de linguagem como auditores de segurança: cobrem grande superfície de código em pouco tempo, mas tendem a perder variantes adjacentes de uma mesma classe de bug quando o contexto da corrida não está completamente explícito na janela de revisão. A Anthropic não se pronunciou sobre o resultado até o fechamento desta matéria.


Leitura global: servidores de entrega e frotas Android


Nos Estados Unidos, os principais provedores de infraestrutura de nuvem operam sobre distribuições Linux customizadas baseadas em kernels da série 6.x. A Amazon e o Google distribuíram atualizações internas emergenciais para as próprias frotas segundo comunicados de segurança divulgados a parceiros. As instâncias gerenciadas pelos clientes dependem de ação dos próprios times de infraestrutura, sem prazo imposto pelo provedor.


Na Índia, onde TCS, Infosys e Wipro somam mais de 1,3 milhão de colaboradores operando sobre farms de servidores Linux de data center próprio (baseados principalmente em Red Hat e Ubuntu), qualquer usuário com credencial válida em uma máquina vulnerável possui vetor de escalonamento de privilégios enquanto o backport não for aplicado. Trata-se de risco de origem interna: controles de perímetro de rede não atenuam o problema.


No Brasil, Android detém mais de 90% da base de smartphones ativos. Kernels 6.6 já chegaram a dispositivos corporativos de entrada e médio porte. A exposição de frotas mobile empresariais depende da velocidade com que os fabricantes locais aplicam as atualizações mensais do Google.


O que fazer agora


A mitigação não é uma chave de configuração: é o kernel corrigido. Equipes de infraestrutura devem identificar todos os hosts com kernel 6.4 ou posterior via uname -r, verificar se a distribuição publicou o backport do commit a6dc643c6931 e priorizar ambientes de CI/CD compartilhados e servidores acessíveis a desenvolvedores terceirizados, onde o escalonamento de um usuário sem privilégios tem maior impacto operacional. Para frotas Android corporativas, a atualização de segurança de julho do Google é mandatória assim que disponível pelo fabricante do dispositivo.


O PoC público está ativo desde 4 de julho; a janela sem patch não é exposição teórica.

Análise Principal