miércoles, 15 de julio de 2026
Policial

Vulnerabilidad «Bad Epoll» expone sistemas Linux y Android a acceso de administrador sin autorización

Una vulnerabilidad recientemente identificada en el kernel de Linux, denominada Bad Epoll (CVE-2026-46242), permite que un usuario ordinario sin permisos especiales obtenga control total de una máquina con privilegios de root. La falla afecta a sistemas Linux de escritorio, servidores y dispositivos Android, aunque ya cuenta con una solución disponible.

Bad Epoll se encuentra en la misma sección de código del kernel donde Mythos, el modelo de inteligencia artificial más avanzado de Anthropic, detectó recientemente una vulnerabilidad diferente.

Epoll es una funcionalidad estándar de Linux que permite a un programa monitorear simultáneamente múltiples archivos o conexiones de red. Esta característica es fundamental para servidores, servicios de red y navegadores web, por lo que no puede ser desactivada.

Jaeyoung Chung reportó esta vulnerabilidad como un día cero al programa kernelCTF de Google, y los detalles técnicos completos están disponibles en su repositorio público. No existe evidencia de que haya sido utilizada en ataques reales: al momento de la publicación, no aparece en la lista de vulnerabilidades explotadas conocidas de CISA, y el único código funcional es la prueba de concepto de kernelCTF. Aún se desarrolla una versión del exploit para Android.

Bad Epoll es un error de «uso después de la liberación». Dos componentes del kernel intentan limpiar el mismo objeto interno simultáneamente, lo que causa que uno libere la memoria mientras el otro continúa escribiendo en ella. Esta breve colisión permite a un atacante corromper la memoria del kernel y escalar privilegios desde una cuenta normal a root.

El desafío radica en el tiempo: la ventana donde los dos caminos colisionan tiene solo seis instrucciones de máquina de ancho, por lo que un intento aleatorio raramente logra alcanzarla. El exploit amplía esa ventana y reintenta sin fallos, consiguiendo acceso root aproximadamente el 99% de las veces en los sistemas probados.

Dos factores aumentan su peligrosidad: según reportes, puede ser activada desde el entorno aislado de procesamiento de Chrome, que bloquea casi todos los demás errores del kernel, y puede afectar a Android, algo que la mayoría de vulnerabilidades de escalamiento de privilegios de Linux no alcanzan.

Ambos errores provienen de un único cambio realizado en 2023 en el código epoll. Chung indica que Mythos detectó el primero de los dos, ahora identificado como CVE-2026-43074, con un parche fijo a principios de 2026.

Anthropic ha declarado que Mythos encontró errores de escalamiento de privilegios en el kernel de Linux, aunque no ha vinculado públicamente ese trabajo con Bad Epoll. Identificar el primero fue un logro significativo, dado que los errores en condiciones de carrera son notoriamente difíciles de detectar.

Dado que epoll no puede ser desactivado, no existe una solución alternativa, por lo que es necesario aplicar la actualización de su distribución cuando esté disponible. Los kernels compilados con versión 6.4 o posterior se ven afectados, a menos que ya incluyan la solución. Los kernels más antiguos basados en 6.1, incluyendo algunos teléfonos Android como el Pixel 8, no son vulnerables, ya que el error fue introducido en la versión 6.4.

Con Información de blog.segu-info.com.ar

Editor

Redacción.

Deja tu comentario