O pesquisador de segurança **Hyunwoo Kim** divulgou o exploit **Dirty Frag** hoje mais cedo, publicando um proof-of-concept (PoC). Essa escalada de privilégios local foi introduzida há aproximadamente nove anos na interface do algoritmo criptográfico algif_aead do kernel Linux. **Como o Dirty Frag Funciona** O **Dirty Frag** explora o campo de fragmento de uma estrutura de dados do kernel, encadeando duas falhas separadas no kernel: a vulnerabilidade xfrm-ESP Page-Cache Write e a vulnerabilidade RxRPC Page-Cache Write. Isso permite que atacantes modifiquem arquivos de sistema protegidos na memória sem autorização, alcançando a escalada de privilégios. De acordo com Kim, o **Dirty Frag** pertence à mesma classe das vulnerabilidades Linux **Dirty Pipe** e **Copy Fail**, mas explora uma estrutura de dados de kernel diferente. "Assim como a vulnerabilidade Copy Fail anterior, o Dirty Frag também permite a escalada imediata de privilégios de root em todas as principais distribuições, e encadeia duas vulnerabilidades separadas", afirmou Kim. Ele acrescentou: "Dirty Frag é um caso que estende a classe de bugs à qual Dirty Pipe e Copy Fail pertencem. Por ser um bug lógico determinístico que não depende de uma janela de tempo, nenhuma condição de corrida é necessária, o kernel não entra em pânico quando o exploit falha, e a taxa de sucesso é muito alta." **Distribuições Afetadas** Essa escalada de privilégios no kernel afeta uma ampla gama de distribuições Linux, incluindo Ubuntu, Red Hat Enterprise Linux, CentOS Stream, AlmaLinux, openSUSE Tumbleweed e Fedora. Patches ainda não estão disponíveis para essas distribuições.  *Demo do Dirty Frag (Hyunwoo Kim)* Kim lançou a documentação completa do **Dirty Frag** e um PoC de exploit após a quebra de um embargo de divulgação pública total em 7 de maio de 2026, quando um terceiro não relacionado publicou o exploit independentemente. "Como o embargo foi quebrado, não há patch ou CVE. Após consulta com os mantenedores em [email protected] e a pedido deles, este documento Dirty Frag está sendo publicado", disse Kim. **Mitigação** Para proteger os sistemas contra ataques, os usuários Linux podem usar o seguinte comando para remover os módulos de kernel vulneráveis esp4, esp6 e rxrpc: ```sh sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; true" ``` *Nota: Isso quebrará VPNs IPsec e sistemas de arquivos de rede distribuídos AFS.* **Exploração do Copy Fail** Essa nova divulgação de zero-day ocorre enquanto os mantenedores de distribuições Linux ainda estão implementando patches para o **Copy Fail**, outra vulnerabilidade de escalada de privilégios de root explorada ativamente em ataques. A **Cybersecurity and Infrastructure Security Agency (CISA)** adicionou o **Copy Fail** ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) na sexta-feira passada, ordenando que as agências federais protejam seus dispositivos Linux em duas semanas, até 15 de maio. "Este tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para a empresa federal", alertou a agência de cibersegurança dos EUA na época. "Aplique mitigações de acordo com as instruções do fornecedor, siga as orientações aplicáveis da BOD 22-01 para serviços em nuvem ou descontinue o uso do produto se as mitigações não estiverem disponíveis." Em abril, as distribuições Linux corrigiram outra vulnerabilidade de escalada de privilégios de root (apelidada de Pack2TheRoot) que havia sido encontrada uma década após sua introdução no daemon **PackageKit**. *Atualização 08 de maio, 09:58 EDT: As duas vulnerabilidades de escrita na página de cache encadeadas pelo Dirty Frag agora são rastreadas sob os seguintes IDs CVE: a de xfrm-ESP foi atribuída **CVE-2026-43284**, e a de RxRPC agora é **CVE-2026-43500**.*  ## 99% do que a Mythos Encontrou Ainda Não Foi Corrigido. A IA encadeou quatro zero-days em um único exploit que contornou os sandboxes de renderização e do sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles funcionam e fecha o ciclo de remediação. [Garanta Sua Vaga](https://hubs.li/Q04crVgD0)