Victor Bianchin
RedatorVictor Bianchin é jornalista.
O Linux tem fama de ser um sistema robusto. Não invulnerável, claro, mas especialmente resistente, a ponto de ter se tornado uma das bases silenciosas da internet, dos servidores empresariais e de muitos ambientes em que a segurança é essencial. Por isso, uma vulnerabilidade como o CopyFail é especialmente séria: não estamos falando de uma falha menor em um aplicativo isolado, mas de um problema no kernel que pode permitir que alguém que já execute código com poucos privilégios acabe obtendo acesso root.
A vulnerabilidade, identificada como CVE-2026-31431, veio à tona quando a empresa Theori divulgou publicamente os detalhes da falha e o código do exploit após ter avisado, cinco semanas antes, a equipe de segurança do kernel do Linux. Esse detalhe temporal é importante porque o kernel já havia recebido patches em várias ramificações, da 7.0 até a 5.10.254. O que ainda não havia acontecido, pelo menos de forma generalizada, era a integração efetiva dessas correções em muitas distribuições Linux.
O CopyFail é uma escalada local de privilégios. Isso não significa que qualquer pessoa possa atacar remotamente uma máquina Linux sem mais nem menos, mas sim que alguém que já consiga executar código dentro do sistema com permissões limitadas — por exemplo, a partir de uma conta comum, um serviço web comprometido, um contêiner ou um trabalho de CI/CD — pode tentar escalar até root. No Linux, root é a conta com controle administrativo completo. Por isso, o risco não está na primeira porta de entrada, mas no que acontece logo depois: um acesso limitado pode se transformar em controle total do sistema.
Um exploit confiável demais
Há outro elemento que explica o alarme. Muitas vulnerabilidades do kernel dependem de condições muito específicas para funcionar, como uma corrupção de memória que pode variar conforme a versão, a distribuição ou até mesmo a máquina. O CopyFail parte de uma falha lógica na API criptográfica do kernel, e isso muda o cenário. Pesquisadores da Bugcrowd explicam que, por se tratar de uma falha lógica, o exploit não depende de ajustes internos tão específicos — uma característica que reduz a fricção para os atacantes e complica o trabalho dos defensores.
O caso também deixa uma lição sobre como as vulnerabilidades são coordenadas no Linux. Como mencionamos acima, a Theori comunicou a falha à equipe de segurança do kernel cinco semanas antes de divulgá-la publicamente. O problema é que, para a maioria dos usuários, as correções não chegam diretamente, mas por meio das distribuições, que empacotam, testam e publicam seus próprios patches ou mitigações. Quando o exploit se tornou público, esse processo ainda não havia sido concluído em muitas distribuições ou versões, deixando uma janela de exposição difícil de ignorar.
Com o passar dos dias, parte do ecossistema começou a fechar essa brecha, mas não de forma uniforme. No momento da publicação deste artigo, distribuições como Debian, Arch, Fedora, SUSE e Amazon Linux já haviam publicado patches ou alertas para determinadas ramificações, enquanto o Ubuntu insistia na atualização do sistema e na aplicação de mitigações caso o kernel corrigido ainda não estivesse disponível ou não tivesse sido carregado após uma reinicialização.
Imagens | Xataka com Nano Banana
Este texto foi traduzido/adaptado do site Xataka Espanha.
Ver 0 Comentários