Vulnerabilidade de segurança afeta distribuições de Linux desde dois mil e dezessete
Pesquisadores de segurança identificaram uma falha grave denominada Falha de Cópia que impacta diversas distribuições do sistema operacional Linux lançadas a partir do ano de dois mil e dezessete. O problema permite que um usuário comum, com acesso local ao equipamento, consiga obter privilégios de administrador, que é o nível mais alto de permissão do sistema. Essa situação possibilita que pessoas não autorizadas realizem a captura de dados sensíveis ou a implantação de códigos maliciosos.
A descoberta foi realizada pela empresa de segurança Theori com o suporte de uma ferramenta de análise baseada em inteligência artificial chamada Xint Code. Este sistema de inteligência artificial utiliza modelos de aprendizado de máquina, que são algoritmos capazes de identificar padrões em grandes volumes de dados, para analisar códigos de programação e encontrar erros. A falha foi formalmente registrada sob a identificação de CVE-2026-31431 e tornou-se pública no final de abril.
O erro técnico ocorre especificamente em um módulo de criptografia do núcleo do sistema, conhecido como kernel, que é a camada fundamental de software que gerencia a comunicação entre o hardware e os aplicativos. O problema reside em uma operação de cópia de dados dentro de um componente chamado algif_aead. Sob certas condições, o sistema acaba sobrescrevendo indevidamente quatro bytes de uma página vinculada ao cache de páginas, que é a estrutura de memória responsável por armazenar dados acessados com frequência.
Embora a alteração envolva apenas quatro bytes por operação, os especialistas demonstraram que isso é suficiente para modificar arquivos mapeados na memória. Ao manipular essas informações, um invasor consegue elevar seu nível de acesso para o de superusuário, permitindo a modificação de configurações de segurança e a realização de monitoramentos ocultos. Para comprovar a fragilidade, os pesquisadores desenvolveram um pequeno código em linguagem Python que consegue explorar a vulnerabilidade.
O alcance do problema é vasto, pois afeta versões do núcleo do sistema a partir da versão quatro ponto quatorze. Isso significa que a maioria das distribuições populares utilizadas globalmente está vulnerável. Testes realizados confirmaram a presença da falha em sistemas amplamente adotados, como o Ubuntu vinte e quatro ponto zero quatro, o Amazon Linux dois mil e vinte e três, o SUSE dezesseis e o Red Hat Enterprise Linux dez ponto um.
Apesar da gravidade técnica, a empresa Theori esclarece que o risco para quem utiliza computadores domésticos, como notebooks e computadores de mesa, é considerado baixo. Isso acontece porque a vulnerabilidade não pode ser explorada remotamente através da internet, exigindo que o invasor já possua algum tipo de acesso local ao hardware. Portanto, a probabilidade de um ataque contra um usuário comum é reduzida se não houver acesso físico ou prévio à máquina.
O cenário é mais crítico para aplicações profissionais que operam em ambientes multiusuários, como clusters Kubernetes, que são sistemas de orquestração para gerenciar contêineres de aplicativos, e serviços de software como serviço. Nessas arquiteturas, diversos agentes, como diferentes usuários e cargas de trabalho, compartilham o mesmo núcleo do sistema e, consequentemente, o mesmo cache de páginas, facilitando a exploração da falha.
Para servidores convencionais, o nível de risco é classificado como médio. A justificativa é que esses equipamentos geralmente são acessados por um número muito restrito de administradores confiáveis. Com menos compartilhamento do cache de memória entre perfis distintos, a chance de um usuário comum conseguir elevar seus privilégios indevidamente torna-se menor do que em ambientes de nuvem ou multiusuários.
A comunidade de desenvolvimento do Linux reagiu rapidamente à divulgação do problema. Atualizações para o núcleo do sistema já estão sendo distribuídas para corrigir a falha de cópia. Empresas importantes do setor de tecnologia, como a Canonical, responsável pelo Ubuntu, a Red Hat e a SUSE, já liberaram ou estão trabalhando na implementação de correções definitivas para seus respectivos sistemas.
Para mitigar os riscos, a recomendação principal é que todos os usuários mantenham suas distribuições Linux atualizadas com as versões mais recentes. No caso de organizações e empresas, é fundamental buscar as orientações específicas dos mantenedores de cada distribuição utilizada. A correção definitiva depende da atualização do kernel, eliminando a possibilidade de sobrescrita indevida de bytes na memória do sistema.
