3 jul 2026

"Bad Epoll" permite a los usuarios sin privilegios obtener root en Linux y Android

Una falla del kernel de Linux recientemente revelada llamada Bad Epoll (CVE-2026-46242) permite a un usuario común y corriente sin acceso especial tomar el control total de una máquina como root. Afecta a los escritorios, servidores y Android de Linux, y ya existe una solución.

Bad Epoll se encuentra en el mismo pequeño tramo de código del kernel donde el modelo de IA más poderoso de Anthropic, Mythos, encontró recientemente un error diferente.

Epoll es una característica estándar de Linux que permite a un programa observar muchos archivos o conexiones de red a la vez. Los servidores, los servicios de red y los navegadores web se basan en él. No puedes simplemente apagarlo.

Jaeyoung Chung presentó la falla como un día cero al programa kernelCTF de Google, y los detalles técnicos completos se encuentran en su artículo público. No hay señales de que se haya utilizado en ataques reales: al momento de escribir este artículo, no está en la lista de vulnerabilidades explotadas conocidas de CISA, y el único código que funciona es la prueba de concepto de kernelCTF. Aún se está desarrollando una versión para Android del exploit.


Bad Epoll es un error de "uso después de la liberación". Dos partes del kernel intentan limpiar el mismo objeto interno al mismo tiempo. Uno libera la memoria mientras el otro sigue escribiendo en ella. Esa breve colisión permite que un atacante corrompa la memoria del kernel y luego pase de una cuenta normal a root.

El problema es el tiempo. La ventana donde chocan los dos caminos tiene sólo seis instrucciones de máquina de ancho, por lo que un intento aleatorio casi nunca aterriza en ella. El exploit amplía esa ventana y lo reintenta sin fallar, alcanzando root aproximadamente el 99% de las veces en los sistemas probados.

Dos cosas lo hacen más peligroso: según su cuenta, puede activarse desde dentro del entorno limitado de procesamiento de Chrome, que bloquea casi todos los demás errores del kernel, y puede llegar a Android, algo que la mayoría de los errores de privilegios de Linux no pueden.

Ambos errores se remontan a un único cambio de 2023 en el código epoll. Chung dice que Mythos encontró el primero de los dos, ahora rastreado como CVE-2026-43074, con un aterrizaje fijo a principios de 2026.

Anthropic ha dicho por separado que Mythos encontró errores de escalamiento de privilegios en el kernel de Linux, aunque no ha vinculado públicamente ese trabajo con Bad Epoll. Encontrar el primero fue un resultado real, porque los errores en las condiciones de carrera son notoriamente difíciles de detectar.

Epoll no se puede desactivar, por lo que no existe ninguna solución, se debe aplicar la actualización de su distribución cuando llegue. Los kernels creados con la versión 6.4 o posterior se ven afectados a menos que ya tengan la solución. Los kernels más antiguos basados ​​en 6.1, incluidos algunos teléfonos Android como el Pixel 8, no lo son, porque el error llegó en 6.4.

Fuente: THN

No hay comentarios.:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!