
Vulnerabilidade use-after-free no subsistema epoll do núcleo do Linux afeta desktops, servidores e dispositivos Android, exigindo a aplicação imediata de correções em ramos recentes.
| Componente | Subsistema epoll no núcleo do Linux (ramos 6.4 e mais recentes) |
| Vetor | Condição de corrida e uso de memória após liberação (use-after-free) acionada por usuário local sem privilégios administrativos |
| Impacto | Escalada de privilégios para root, escape do sandbox do Chrome e comprometimento do sistema operacional Android |
| Prioridade | Aplicar o commit a6dc643c6931 ou o backport oficial fornecido pela distribuição do sistema operacional |
| Artefatos | Correção de origem via commit a6dc643c6931 |
Uma nova falha de segurança no núcleo do Linux, rastreada como CVE-2026-46242 e batizada de Bad Epoll, foi detalhada após ser descoberta pelo pesquisador Jaeyoung Chung. A vulnerabilidade permite que um usuário local sem privilégios administrativos ganhe controle total da máquina escalando para a conta root. O problema afeta plataformas que utilizam o núcleo em versões recentes, incluindo servidores bare metal, instâncias em nuvem,Desktops Linux e dispositivos móveis que-rodam o sistema operacional Android.
A falha reside no subsistema epoll, uma interface fundamental usada por aplicações para monitorar múltiplos descritores de arquivos de forma assíncrona e eficiente. Como o serviço é largamente utilizado por servidores web, bancos de dados e navegadores de internet, desativá-lo não é uma opção viável em ambientes de produção. A exploração bem-sucedida resulta em corrupção de memória no nível do núcleo, quebrando o isolamento de processos e permitindo que código malicioso opere com as mais altas privilégios do sistema.
O contexto técnico revela que essa falha tem uma história curiosa: ela vive na mesma região de código onde um modelo de inteligência artificial de ponta chamado Mythos, pertencente à Anthropic, havia identificado anteriormente outra falha crítica, atualmente registrada como CVE-2026-43074. Embora a inteligência artificial tenha conseguido localizar a primeira falha, foi necessário um esforço analítico humano detalhado para expor a vulnerabilidade irmã, demonstrando que ferramentas automatizadas de segurança ainda requerem complemento humano em análises profundas de memória condicional.
Quando a função de detecção de arquivos monitora requisições simultâneas, rotinas internas de limpeza entram em ação para gerenciar os ciclos de vida dos objetos envolvidos. Na falha Bad Epoll, identificou-se uma falha temporal onde duas seções diferentes do núcleo tentam liberar recursos ao mesmo tempo. Ocorre uma condição de corrida: uma parte libera a memória enquanto a segunda continua gravando dados naquele mesmo espaço físico. Aproveitando-se dessa colisão fugaz, um invasor consegue corromper ponteiros do núcleo e redirecionar o fluxo de execução para operações não autorizadas.
O que torna está avaliação particularmente crítica é a natureza temporal da exploração. A janela exata para que a condição de corrida ocorra é extremamente curta, abrangendo apenas cerca de seis ciclos de instrução do processador. Em situações normais, forçar esse alinhamento exigiria um volume massivo de tentativas e causaria travamentos frequentes do sistema operacional. Contudo, artefatos exploratórios construídos durante a pesquisa conseguem ampliar essa janela de tempo o suficiente para permitir tentativas repetidas sem derrubar o host, alcançando uma taxa de sucesso next-generation de quase 99% em sistemas testados.
A exploração ganha uma dimensão ainda mais agressiva dependendo do vetor de entrada. Foi constatado que a falha pode ser acionada a partir do interior do sandbox do renderizador do Google Chrome. Sandboxes tradicionais são projetados justamente para impedir que falhas isoladas em aplicações atinjam o núcleo do sistema operacional, mas a natureza do ataque permite furar essa barreira de isolamento de processos. Além disso, dispositivos Android, que possuem restrições de kernel robustas, também estão suscetíveis a técnicas de elevação de privilégios baseadas neste artefato.
A exp advocatesão afeta diretamente sistemas que utilizam o núcleo Linux a partir da versão 6.4. Diversos ramos de manutenção de longo prazo que incorporaram as atualizações da série 6.4 estão vulneráveis, abarcando desde servidores de dados corporativos até estáções de trabalho e dispositivos móveis de última geração.
É importante notar que versões mais conservadoras, baseadas no ramo 6.1 do núcleo, não são impactadas. Isso ocorre porque a alteração de código que introduziu a falha data de 2023 e só foi mesclada nas versões 6.4 e posteriores.
- Servidores web e de rede de alto tráfego usando Linux 6.4 ou superior
- Desktops e estáções de trabalho recentes (incluindo soluções corporativas atuais)
- Dispositivos celulares e embarcados não protegidos pelo limite estendido do kernel
- Ambientes de nuvem que rodam versões de núcleo expostas a usuários de baixa confiança
- Resulta em não vulnerabilidade: ramos baseados no núcleo 6.1 (como várias versões do Pixel 8)
times de resposta a incidentes devem priorizar a busca por assinaturas de条件 de corrida local e sinais de exploração de privilégios. Ferramentas de validação de memória na arquitetura do núcleo como o KASAN podem ter dificuldade em sinalizar a anomalia, dificultando a detecção em ambientes monitorados apenas por soluções clássicas de agentes.
A auditoria de logs de telemetria deve focar na identificação de processos que escalam privilégios de forma abrupta, especialmente aqueles originários de contêineres restritos ou processos de renderização isolados.
- Monitoramento de processos que solicitam requisições intensas via interface epoll_Local
- Alertas para tentativas incomuns de acesso via chamadas de sistema vindas de ambientes isolados (tipo sandbox)
- Análise de logs de pane do sistema (kernel panic) intervenções não usuais de tempo real
- Monitorar spikes na atividade do processador originados por usuários sem privilégios rodando binários locais
A única forma de mitigar definitivamente a falha é atualizar o núcleo do sistema operacional. Como não há configuração alternativa que possa desativar o subsistema faltante sem quebrar severamente o sistema, as equipes de operações e segurança da informação devem priorizar a aplicação do patch lançado pela comunidade de desenvolvimento.
O commit que corrigi a vulnerabilidade determinística é o a6dc643c6931 e deve ser backportado e validado pelos mantenedores de cada distribuição. Times de DevOps e SRE devem forçar a reinicialização de instâncias para garantir que o novo kernel seja carregado na memória.
Em paralelo à correção principal do epoll, aos administradores recomenda-se revisar e atualizar ramos expostos a outras vulnerabilidades mencionadas na mesma linha temporal do núcleo, garantindo que instâncias estejam protegidas contra ferramentas de automação que eventualmente encadeiem múltiplas falhas locais.
- Instalar imediatamente as atualizações de segurança contendo o commit
a6dc643c6931 - Reiniciar todos os hosts, servidores e dispositivos móveis afetados para carregar o novo núcleo
- Revisar perfis de aplicaciones em contêineres que rodam em versões 6.4 e superiores
- Monitorar o ambiente em busca de acessos anômalos concedidos a usuários não autorizados
0 Comentários