Una falla del kernel de Linux recientemente revelada llamada mal epoll (CVE-2026-46242) permite a un usuario normal sin acceso especial tomar el control total de una máquina como root. Afecta a los escritorios, servidores y Android de Linux, y ya no existe una solución.
mal epoll se encuentra en el mismo pequeño tramo de código del kernel donde se encuentra el modelo de IA más poderoso de Anthropic, Mitosrecientemente encontró un error diferente.
La IA detectó un defecto y pasó por alto este. Un investigador, Jaeyoung Chung, lo encontró y construyó un ataque funcional.
Cómo funciona el error
Epoll es una característica estándar de Linux que permite a un programa observar muchos archivos o conexiones de red a la vez. Los servidores, los servicios de red y los navegadores web se basan en él. No puedes simplemente apagarlo.
Bad Epoll es un error de «uso después de la liberación». Dos partes del kernel intentan limpiar el mismo objeto interno al mismo tiempo. Uno libera la memoria mientras el otro sigue escribiendo en ella. Esa breve colisión permite que un atacante corrompa la memoria del kernel y luego pase de una cuenta normal a la raíz.
El problema es el tiempo. La ventana donde chocan los dos caminos tiene sólo seis instrucciones de máquina de ancho, por lo que un intento aleatorio casi nunca aterriza en ella. El exploit de Chung amplía esa ventana y lo reintenta sin fallar, alcanzando la raíz aproximadamente el 99% de las veces en los sistemas probados.
Dos cosas lo hacen más peligroso: según su cuenta, puede activarse desde dentro del entorno limitado de renderizado de Chrome, que bloquea casi todos los demás errores del kernel, y puede llegar a Android, algo que la mayoría de los errores de privilegios de Linux no pueden.
Chung presentó la falla como de día cero al programa kernelCTF de Google, y los detalles técnicos completos se encuentran en su redacción pública. No hay señales de que se haya utilizado en ataques reales: al momento de escribir este artículo, no está en la lista de vulnerabilidades explotadas conocidas de CISA, y el único código que funciona es la prueba de concepto de kernelCTF. Aún se está desarrollando una versión para Android del exploit.
Ambos errores se remontan a un único cambio de 2023 en el código epoll. Chung dice que Mythos encontró el primero de los dos, ahora rastreado como CVE-2026-43074, con un aterrizaje fijo a principios de 2026.
Anthropic ha dicho por separado Mythos Se encontraron errores de escalada de privilegios en el kernel de Linux.aunque no ha vinculado públicamente ese trabajo con Bad Epoll. Encontrar el primero fue un resultado real, porque los errores en las condiciones de carrera son notoriamente difíciles de detectar.
Entonces, ¿por qué la misma IA pasó por alto el defecto del hermano? Chung ofrece dos razones probables y tiene cuidado de decir que nadie puede estar seguro.
- En primer lugar, la ventana de tiempo es pequeña, por lo que es difícil imaginar la secuencia exacta de eventos, incluso cuando se mira el código.
- En segundo lugar, hay poca evidencia en tiempo de ejecución.
Una vez que se corrige el primer error, el error de memoria de Bad Epoll generalmente no activa KASAN, el principal detector de errores del kernel, por lo que nada indica que algo anda mal.
Epoll no se puede desactivar, por lo que no existe ninguna solución. Aplicar compromiso ascendente a6dc643c6931o instale el backport de su distribución cuando llegue. Los kernels creados con la versión 6.4 o posterior se ven afectados a menos que ya tengan la solución.
Los kernels más antiguos basados en 6.1, incluidos algunos teléfonos Android como el Pixel 8, no lo son, porque el error llegó en 6.4.
Un mal año para el kernel de Linux
Bad Epoll se une a una conocida familia de errores del kernel utilizados para rootear Android, siguiendo entradas anteriores llamadas Bad Binder, Bad IO_uring y Bad Spin.
También se encuentra en una zona ocupada por fallas de privilegios de Linux, aunque la mayoría de las recientes funcionan de manera diferente. Copy Fail (CVE-2026-31431) llegó en abril y ahora está en la lista de vulnerabilidades explotadas conocidas de CISA. Le siguieron la cadena Dirty Frag, Fragnesia, DirtyClone y pedit COW.
Ambos son errores deterministas de escritura de caché de página, como Dirty Pipe (2022), sin carrera para ganar, lo que los hace mucho más confiables de ejecutar. Bad Epoll es el tipo más antiguo y más difícil: una carrera que tienes que ganar, como Dirty Cow (2016).
También ha aparecido una prueba de concepto pública para CVE-2026-31694una falla separada en el código del sistema de archivos FUSE del kernel, encontrada por la firma de investigación Bynario, impulsada por IA. Un usuario local con acceso FUSE puede alimentar al kernel con un sistema de archivos malicioso y dañar la memoria.
Dependiendo de la configuración, eso puede significar acceso de root, fugas de datos o una falla. Debido a que ese acceso es común en contenedores y espacios de nombres de usuarios, representa más un riesgo para el servidor y el contenedor que para el teléfono.
Bynario no es el único. Mythos también encontró y aprovechó un error de ejecución remota de código de 17 años en el servidor NFS de FreeBSD (CVE-2026-4747), y los investigadores de Anthropic han utilizado sus modelos para descubrir otros defectos del kernel.
Bad Epoll es un contrapunto útil. Muestra que las condiciones de carrera son difíciles en cada etapa: difíciles de encontrar, incluso para una IA líder; difícil de arreglar, ya que el primer parche se quedó corto y uno correcto tardó alrededor de dos meses; y difícil de explotar, a través de una ventana de sólo seis instrucciones de ancho. Por ahora, el error que deja pasar una IA sigue siendo el que una persona tiene que detectar.





