Nova Vulnerabilidade 'Bad Epoll' no Linux Permite Obtenção de Privilégios Root e Afeta Android
Uma nova falha crítica, 'Bad Epoll' (CVE-2026-46242), foi descoberta no kernel Linux, permitindo que atacantes locais elevem seus privilégios para root. A vulnerabilidade afeta sistemas desktop, servidores e dispositivos Android, e um exploit funcional já foi desenvolvido.
MundiX News·08 de julho de 2026·4 min de leitura·👁 1 views
Detalhes técnicos e um Proof-of-Concept (PoC) exploit para a vulnerabilidade 'Bad Epoll', descoberta no kernel Linux, foram divulgados. Esta falha afeta sistemas desktop, servidores e dispositivos Android, permitindo que um processo local não privilegiado eleve seus privilégios para o nível de root. A vulnerabilidade recebeu a identificação CVE-2026-46242 e uma pontuação CVSS de 7.8, indicando um risco significativo.
O pesquisador Jaeyoung Chung, da Universidade Nacional de Seul, descobriu a falha e a reportou aos desenvolvedores através do programa bug bounty kernelCTF do Google. Chung também desenvolveu um exploit funcional que é capaz de extrair dados da memória do kernel, interceptar o fluxo de execução através de chamadas indiretas e executar uma ROP chain (Return-Oriented Programming) para obter privilégios de root. Chung explica que o bug é um 'use-after-free' no mecanismo epoll, causado por uma condição de corrida ('race condition') durante o fechamento simultâneo de descritores de arquivo associados. O epoll é um mecanismo padrão do Linux que permite que aplicações monitorem a prontidão de múltiplos descritores de arquivo para operações de I/O, sendo amplamente utilizado por aplicações de servidor, navegadores e serviços de rede.
A vulnerabilidade ocorre quando um descritor epoll está monitorando outro, e ambos são fechados em paralelo. Um dos caminhos de execução libera o objeto interno do kernel, enquanto o outro continua a acessá-lo, resultando em um 'use-after-free' e na escrita em memória que já foi liberada. A exploração desta falha era inicialmente dificultada por uma janela de tempo extremamente estreita para a condição de corrida, ocupando apenas algumas instruções de máquina, o que tornava a sua ocorrência acidental quase impossível. No entanto, Chung conseguiu ampliar essa janela, resultando em um exploit que funciona em aproximadamente 99% dos casos nas configurações testadas. O pesquisador destaca que o 'Bad Epoll' pode ser explorado mesmo a partir do sandbox do renderizador do Chrome, que normalmente bloqueia a exploração da maioria das outras vulnerabilidades do kernel. Além disso, a vulnerabilidade foi confirmada em um Pixel 10 com kernel Linux 6.6, embora um exploit completo para Android ainda esteja em desenvolvimento. É importante notar que dispositivos com kernels mais antigos, como o 6.1 (incluindo alguns Pixel 8), não são afetados, pois o código problemático foi introduzido apenas no Linux 6.4.
Originalmente, o bug 'Bad Epoll' foi introduzido no kernel em 2023, junto com outro commit que também gerou uma vulnerabilidade de condição de corrida relacionada, a CVE-2026-43074. Essa outra falha foi previamente descoberta pelo modelo de IA Anthropic Mythos. Acredita-se que a IA possa ter perdido a vulnerabilidade 'Bad Epoll' devido à estreita janela para a condição de corrida e à ausência de sinais explícitos durante a execução; após a correção da CVE-2026-43074, o novo problema geralmente não aciona o KASAN (Kernel Address Sanitizer). Chung relata que a correção do 'Bad Epoll' não foi imediata; o primeiro patch foi incompleto, e uma correção adequada só apareceu dois meses após a descoberta do problema. Não existem contramedidas alternativas, e os administradores devem instalar a atualização de seus sistemas com o patch backportado ou aplicar o commit upstream a6dc643c6931 o mais rápido possível. Versões do kernel 6.4 e posteriores são consideradas vulneráveis sem a aplicação desses patches. Nos últimos meses, pesquisadores divulgaram várias falhas semelhantes no Linux, como 'Copy Fail', 'Dirty Frag', 'Fragnesia', 'DirtyClone' e 'pedit COW'. No entanto, ao contrário de ataques determinísticos ao page cache, o 'Bad Epoll' exige a exploração de uma complexa condição de corrida, um tipo de falha que foi explorada anteriormente na notória vulnerabilidade 'Dirty COW'.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Detalhes técnicos e um Proof-of-Concept (PoC) exploit para a vulnerabilidade 'Bad Epoll', descoberta no kernel Linux, foram divulgados. Esta falha afeta sistemas desktop, servidores e dispositivos Android, permitindo que um processo local não privilegiado eleve seus privilégios para o nível de root. A vulnerabilidade recebeu a identificação CVE-2026-46242 e uma pontuação CVSS de 7.8, indicando um risco significativo.
O pesquisador Jaeyoung Chung, da Universidade Nacional de Seul, descobriu a falha e a reportou aos desenvolvedores através do programa bug bounty kernelCTF do Google. Chung também desenvolveu um exploit funcional que é capaz de extrair dados da memória do kernel, interceptar o fluxo de execução através de chamadas indiretas e executar uma ROP chain (Return-Oriented Programming) para obter privilégios de root. Chung explica que o bug é um 'use-after-free' no mecanismo epoll, causado por uma condição de corrida ('race condition') durante o fechamento simultâneo de descritores de arquivo associados. O epoll é um mecanismo padrão do Linux que permite que aplicações monitorem a prontidão de múltiplos descritores de arquivo para operações de I/O, sendo amplamente utilizado por aplicações de servidor, navegadores e serviços de rede.
A vulnerabilidade ocorre quando um descritor epoll está monitorando outro, e ambos são fechados em paralelo. Um dos caminhos de execução libera o objeto interno do kernel, enquanto o outro continua a acessá-lo, resultando em um 'use-after-free' e na escrita em memória que já foi liberada. A exploração desta falha era inicialmente dificultada por uma janela de tempo extremamente estreita para a condição de corrida, ocupando apenas algumas instruções de máquina, o que tornava a sua ocorrência acidental quase impossível. No entanto, Chung conseguiu ampliar essa janela, resultando em um exploit que funciona em aproximadamente 99% dos casos nas configurações testadas. O pesquisador destaca que o 'Bad Epoll' pode ser explorado mesmo a partir do sandbox do renderizador do Chrome, que normalmente bloqueia a exploração da maioria das outras vulnerabilidades do kernel. Além disso, a vulnerabilidade foi confirmada em um Pixel 10 com kernel Linux 6.6, embora um exploit completo para Android ainda esteja em desenvolvimento. É importante notar que dispositivos com kernels mais antigos, como o 6.1 (incluindo alguns Pixel 8), não são afetados, pois o código problemático foi introduzido apenas no Linux 6.4.
Originalmente, o bug 'Bad Epoll' foi introduzido no kernel em 2023, junto com outro commit que também gerou uma vulnerabilidade de condição de corrida relacionada, a CVE-2026-43074. Essa outra falha foi previamente descoberta pelo modelo de IA Anthropic Mythos. Acredita-se que a IA possa ter perdido a vulnerabilidade 'Bad Epoll' devido à estreita janela para a condição de corrida e à ausência de sinais explícitos durante a execução; após a correção da CVE-2026-43074, o novo problema geralmente não aciona o KASAN (Kernel Address Sanitizer). Chung relata que a correção do 'Bad Epoll' não foi imediata; o primeiro patch foi incompleto, e uma correção adequada só apareceu dois meses após a descoberta do problema. Não existem contramedidas alternativas, e os administradores devem instalar a atualização de seus sistemas com o patch backportado ou aplicar o commit upstream a6dc643c6931 o mais rápido possível. Versões do kernel 6.4 e posteriores são consideradas vulneráveis sem a aplicação desses patches. Nos últimos meses, pesquisadores divulgaram várias falhas semelhantes no Linux, como 'Copy Fail', 'Dirty Frag', 'Fragnesia', 'DirtyClone' e 'pedit COW'. No entanto, ao contrário de ataques determinísticos ao page cache, o 'Bad Epoll' exige a exploração de uma complexa condição de corrida, um tipo de falha que foi explorada anteriormente na notória vulnerabilidade 'Dirty COW'.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.