Falla crítica en CPUs Arm: Linux despliega parches de seguridad

¿Qué es la vulnerabilidad CVE-2025-10263 en CPUs Arm?

Hoy se ha hecho pública la vulnerabilidad de seguridad clasificada como "crítica" bajo el identificador CVE-2025-10263, la cual afecta a una amplia variedad de núcleos de CPU Arm. Este fallo podría permitir la escalada de privilegios en sistemas afectados debido a una condición de sincronización específica durante los cambios de permisos de memoria. En términos fundamentales, el problema surge porque la finalización de accesos a memoria afectados podría no estar garantizada por la finalización de una operación TLBI (TLB Invalidation).

Aunque el CVE-2025-10263 fue asignado el año pasado, solo se ha divulgado hoy. Este problema permite escrituras en recursos que pertenecen a un nivel de excepción superior, facilitando así la escalada de privilegios. Entre los núcleos Arm afectados se encuentran los recientes C1-Ultra y C1-Premium, además de modelos anteriores como Neoverse V3, V3AE, V2, V1, N2 y N1. Adicionalmente, la lista de procesadores comprometidos incluye a los Cortex-X925, Cortex-X4, Cortex-X3, Cortex-X2, Cortex-X1 y X1C, así como a las series Cortex-A710, Cortex-A78, A78AE, A78C, Cortex-A77, Cortex-A76 y A76AE.

¿Cómo mitigar el fallo en sistemas Linux?

La solución a nivel de software consiste en que cualquier proceso que realice una invalidación de TLB (TLB invalidation) aplicada a información de etapa 1 o etapas 1 y 2, debe ejecutar obligatoriamente una instrucción TLBI adicional seguida de una barrera de memoria DSB. Todos los detalles técnicos se encuentran disponibles en el boletín oficial de Arm.

Esta serie de parches publicada hoy para el kernel de Linux aborda dicha vulnerabilidad con la mitigación necesaria para los sistemas operativos basados en esta arquitectura.

La imagen superior muestra la arquitectura de los núcleos involucrados en entornos de alto rendimiento. Es crucial destacar que, de manera separada, otro parche confirmado por NVIDIA asegura que sus nuevos núcleos Olympus, presentes en el CPU NVIDIA Vera, también se ven afectados por esta vulnerabilidad y ya cuentan con una mitigación específica mediante ese parche complementario.

Vía Phoronix.