El investigador Jaeyoung Chung ha descubierto Bad Epoll (CVE-2026-46242), una vulnerabilidad de tipo use-after-free por condición de carrera en el subsistema epoll del kernel de Linux. Reportada como exploit de día cero al programa kernelCTF de Google, la falla permite que un proceso sin privilegios obtenga acceso root en equipos Linux y también en dispositivos Android, una capacidad poco frecuente: de unas 130 vulnerabilidades explotadas en kernelCTF, solo una decena son válidas para root en Android.
Bad Epoll destaca además por poder activarse desde el sandbox del renderizador de Chrome, lo que abre la puerta a cadenas de explotación que conduzcan a ejecución de código en el kernel, como ya demostró Project Zero en agosto de 2025. La vulnerabilidad fue introducida por un único commit en abril de 2023 y corregida el 24 de abril de 2026, tras dos meses de idas y vueltas con los mantenedores, cuyo primer parche resultó insuficiente.
El modelo de inteligencia artificial Mythos, de Anthropic, encontró otro fallo en el mismo fragmento de código de epoll (CVE-2026-43074), pero pasó por alto Bad Epoll. Los autores atribuyen el descuido a la extrema estrechez de la ventana de carrera, de unas seis instrucciones, y a la escasa señal en tiempo de ejecución: KASAN apenas detecta el problema tras parchear la otra vulnerabilidad.
El exploit agrupa cuatro objetos epoll en dos parejas, amplía la ventana de carrera y convierte un use-after-free de 8 bytes en control total sobre un objeto de archivo mediante un ataque cross-cache. Con ello consigue lectura arbitraria de memoria del kernel a través de /proc/self/fdinfo y, finalmente, ejecuta una cadena ROP que abre una shell de root. En las pruebas contra los objetivos de kernelCTF, la fiabilidad alcanza el 99 % en lts-6.12.67 y el 98 % en cos-121-18867.294.100. La versión para Android sigue en desarrollo, con un primer PoC funcional en Pixel 10. Como epoll no puede desactivarse, la única mitigación es aplicar el commit de corrección a6dc643c6931.
