Uma falha de nove anos permite que qualquer usuário local assuma o controle root de um Linux. Se você tem um servidor, um Raspberry Pi disponível ou um PC rodando Ubuntu, você está preocupado.
Um Raspberry Pi que serve como NAS, uma VM que hospeda um site WordPress, um mini-PC rodando Debian que atua como um servidor Plex. Más notícias: se alguém conseguir abrir um shell nele, mesmo com uma conta sem nenhum privilégio, ele se tornará root em poucos segundos. E esse “alguém” pode ser um script PHP corrompido, um contêiner Docker mal isolado ou um convidado curioso demais.
Para ir mais longe
Alerta de segurança: este hack assume o controle de qualquer PC Linux
A falha se chama Copy Fail, divulgada em 29 de abril de 2026 pelos pesquisadores da Theori. É classificado como 7,8 em 10 em termos de gravidade, o que no mundo das vulnerabilidades significa “corrigir com urgência”. Afeta todos os kernels Linux desde 2017, ou seja, Ubuntu, Debian, Red Hat, SUSE, AlmaLinux, Fedora, Arch e quase todas as distribuições do mercado.
Concretamente, um usuário sem quaisquer direitos pode modificar 4 bytes bem escolhidos na memória da máquina, e isso é suficiente para usurpar a identidade do administrador. O programa que explora a falha tem 732 bytes de código Python. Não é um feito teórico, um script que lançamos e que funciona de primeira, em qualquer distribuição.
A cereja do bolo é que essa falha foi descoberta por uma ferramenta de inteligência artificial em uma hora de digitalização. Enquanto os humanos releem esse código há quase dez anos sem ver nada.
O que fazer, dependendo do que você tem em mãos
Para um PC pessoal ou um pequeno servidor rodando Ubuntu ou Debian, é simples: execute a atualização usual e reinicie a máquina.
O Ubuntu publicou um patch temporário em 30 de abril que desativa o componente defeituoso enquanto espera pelo kernel corrigido, o Debian segue o mesmo ritmo. Concretamente, um sudo apt update && sudo apt upgrade seguido de uma reinicialização resolve o problema.
Para um Raspberry Pi ou NAS doméstico, a mesma lógica, desde que a distribuição ainda seja mantida oficialmente. Se não estiver mais lá, provavelmente é hora de migrar.
No lado do servidor Red Hat, AlmaLinux ou Rocky, cuidado com a armadilha. Um pedido está circulando por toda a web há dois dias para bloquear manualmente o componente vulnerável.
Nessas distribuições isso não funciona: o comando é executado sem erros, mas o sistema permanece vulnerável. Falsa sensação de segurança garantida. A verdadeira solução é passar diretamente pela atualização oficial, o AlmaLinux lançou seu kernel corrigido no dia 1º de maio.
UM sudo dnf upgrade e uma reinicialização é suficiente. Para aqueles que não podem se dar ao luxo de reiniciar, existem soluções de hot patching como KernelCare.
Para nós Kubernetes e servidores de integração contínua, a prioridade é máxima: são os alvos preferenciais para este tipo de ataque.
A propósito, boas notícias: desativar o componente defeituoso não quebra nada de importante. Nem criptografia de disco, nem VPNs, nem SSH, nem sites HTTPS. Apenas alguns aplicativos muito específicos, que exploram a aceleração de hardware de criptografia em um nível baixo, podem ser afetados, e isso é raro fora de configurações profissionais muito específicas.
O Android também é poupado graças ao SELinux, que só permite o processo estado de despejo para abrir soquetes AF_ALG. Pela primeira vez, as políticas restritivas do Google estão fazendo um favor.
Para ir mais longe
Fim do Windows 10: veja como instalar o Linux, escolher sua distribuição, criar sua chave USB inicializável e configurar seu novo sistema
Quer se juntar a uma comunidade de entusiastas? Nosso Discord lhe dá as boas-vindas, é um lugar de ajuda mútua e paixão pela tecnologia.