Recientemente, se reveló oficialmente una grave vulnerabilidad de seguridad con el número CVE-2025-10263 y se confirmó que afecta a múltiples núcleos de CPU de arquitectura Arm, que cubren las últimas y primeras generaciones de productos. La vulnerabilidad, clasificada como "Crítica", permite a un atacante aprovechar las condiciones de tiempo durante cambios específicos de permisos de memoria para lograr una escalada de privilegios locales en el sistema afectado.
Según información pública, la causa principal del problema es que al realizar una operación de invalidación de TLB (TLBI), la finalización del acceso a la memoria relevante no está estrictamente garantizada por la finalización del TLBI.
En algunos escenarios, este comportamiento puede dar lugar a escrituras ilegales en recursos que deberían pertenecer a un nivel de excepción más alto (como un nivel de privilegio más alto), convirtiéndose así en un medio para que los atacantes aumenten los privilegios.
Aunque a la vulnerabilidad se le asignó un número en 2025, no se reveló públicamente oficialmente hasta junio de 2026.
Arm proporcionó una lista bastante extensa de núcleos afectados en su aviso de seguridad.
Estos incluyen los últimos C1-Ultra y C1-Premium, así como los anteriores Neoverse V3, V3AE, V2, V1, N2, N1 y otras series de núcleos para servidores y centros de datos.
Al mismo tiempo, también se ven afectadas una gran cantidad de series Cortex para dispositivos móviles y clientes de alto rendimiento, incluidas Cortex-X925, Cortex-X4, Cortex-X3, Cortex-X2, Cortex-X1 y X1C, así como modelos como Cortex-A710, Cortex-A78, A78AE, A78C, Cortex-A77, Cortex-A76 y A76AE.
En respuesta a este problema, las sugerencias de mitigación a nivel de software proporcionadas por Arm son: Cualquier software que realice operaciones de invalidación de TLB aplicables a la información de la tabla de páginas de primer nivel o primer nivel más segundo nivel debe realizar una operación TLBI adicional y cooperar con DSB (Barrera de sincronización de datos, barrera de sincronización de datos) para garantizar que el acceso a la memoria relevante se complete correctamente antes de cambiar los permisos.
Los detalles técnicos correspondientes y las soluciones de mitigación recomendadas se documentaron en el aviso de seguridad publicado por Arm.
La comunidad de Linux respondió de inmediato y proporcionó parches al kernel para implementar las medidas de mitigación anteriores.
Los desarrolladores de Arm enviaron hoy una serie de parches a la lista de correo del kernel de Linux para reducir el riesgo de explotación de vulnerabilidades ajustando las rutas de código relevantes para garantizar que se agreguen los TLBI y DSB necesarios al ejecutar fallas de TLB en los escenarios afectados.
El parche se envió al kernel principal y se espera que se lance a los usuarios a través de actualizaciones importantes de la distribución.
Además de los procesadores listados oficialmente de Arm, NVIDIA también confirmó que sus últimos núcleos Olympus también se ven afectados por CVE-2025-10263.
NVIDIA señaló en otro parche enviado al kernel de Linux que el kernel Olympus utilizado en su nueva generación de CPU NVIDIA Vera tiene el mismo problema e introdujo las medidas de mitigación correspondientes a través de parches posteriores para ser consistentes con las correcciones universales ascendentes.
En términos de riesgos reales, dado que esta vulnerabilidad puede realizar operaciones de escritura en recursos con altos privilegios bajo ciertas condiciones y, en teoría, puede proporcionar a los atacantes una forma de escalar los privilegios locales, no es sorprendente que se califique como "crítica".
Sin embargo, actualmente no hay casos de uso reales a gran escala que se hayan informado públicamente. La industria se centra principalmente en completar las reparaciones a nivel del kernel y del software del sistema lo antes posible para evitar posibles escenarios de ataques posteriores.
Para los usuarios de Linux y operadores de servidores, la acción más crítica en este momento es prestar atención a las actualizaciones del kernel que proporcionarán las principales distribuciones y completar la implementación de la actualización lo antes posible.
Antes de esto, los proveedores de servicios en la nube, los grandes centros de datos y los fabricantes de equipos basados en la plataforma Arm afectada también deben evaluar los modelos de procesador y los escenarios de carga de trabajo utilizados por su propio hardware, y dar seguimiento oportuno a las recomendaciones de mitigación emitidas por las comunidades Arm y Linux.