Kürzlich wurde eine schwerwiegende Sicherheitslücke mit der Nummer CVE-2025-10263 offiziell bekannt gegeben und es wurde bestätigt, dass sie mehrere CPU-Kerne der Arm-Architektur betrifft, die die neuesten und frühen Produktgenerationen abdecken. Die als „Kritisch“ eingestufte Schwachstelle ermöglicht es einem Angreifer, die Zeitbedingungen bei bestimmten Änderungen der Speicherberechtigungen auszunutzen, um eine lokale Rechteausweitung auf dem betroffenen System zu erreichen.
Nach öffentlichen Informationen liegt die Hauptursache des Problems darin, dass bei der Durchführung einer TLB-Invalidierungsoperation (TLBI) der Abschluss des relevanten Speicherzugriffs durch den Abschluss der TLBI nicht unbedingt garantiert wird.
In einigen Szenarien kann dieses Verhalten zu illegalen Schreibvorgängen auf Ressourcen führen, die einer höheren Ausnahmestufe (z. B. einer höheren Berechtigungsstufe) gehören sollten, und wird so zu einem Mittel für Angreifer, um Berechtigungen zu erweitern.
Obwohl der Schwachstelle im Jahr 2025 eine Nummer zugewiesen wurde, wurde sie erst im Juni 2026 offiziell öffentlich bekannt gegeben.
Arm hat in seinem Sicherheitshinweis eine ziemlich umfangreiche Liste der betroffenen Kerne veröffentlicht.
Dazu gehören der neueste C1-Ultra und C1-Premium sowie die vorherigen Neoverse V3, V3AE, V2, V1, N2, N1 und andere Kernserien für Server und Rechenzentren.
Gleichzeitig sind auch zahlreiche Cortex-Serien für leistungsstarke Mobil- und Client-Geräte betroffen, darunter Cortex-X925, Cortex-X4, Cortex-X3, Cortex-X2, Cortex-X1 und X1C sowie Modelle wie Cortex-A710, Cortex-A78, A78AE, A78C, Cortex-A77, Cortex-A76 und A76AE.
Als Reaktion auf dieses Problem lauten die von Arm gegebenen Abhilfemaßnahmen auf Softwareebene: Jede Software, die TLB-Invalidierungsoperationen durchführt, die auf Seitentabelleninformationen der ersten oder ersten und zweiten Ebene anwendbar sind, muss eine zusätzliche TLBI-Operation durchführen und mit DSB (Data Synchronization Barrier, Datensynchronisationsbarriere) zusammenarbeiten, um sicherzustellen, dass der relevante Speicherzugriff korrekt abgeschlossen wird, bevor Berechtigungen geändert werden.
Die entsprechenden technischen Details und empfohlenen Abhilfemaßnahmen sind in der von Arm veröffentlichten Sicherheitsempfehlung dokumentiert.
Die Linux-Community hat sofort reagiert und Patches für den Kernel bereitgestellt, um die oben genannten Abhilfemaßnahmen umzusetzen.
Entwickler von Arm haben heute eine Reihe von Patches an die Linux-Kernel-Mailingliste gesendet, um das Risiko der Ausnutzung von Sicherheitslücken zu verringern, indem sie die relevanten Codepfade anpassen, um sicherzustellen, dass bei der Ausführung von TLB-Fehlern in betroffenen Szenarien die erforderlichen TLBI und DSB hinzugefügt werden.
Der Patch wurde an den Mainline-Kernel übermittelt und wird voraussichtlich über größere Distributions-Updates für Benutzer freigegeben.
Zusätzlich zu den offiziell gelisteten Prozessoren von Arm bestätigte NVIDIA auch, dass seine neuesten Olympus-Kerne ebenfalls von CVE-2025-10263 betroffen sind.
NVIDIA wies in einem anderen an den Linux-Kernel übermittelten Patch darauf hin, dass der Olympus-Kernel, der in seiner neuen Generation von NVIDIA-Vera-CPUs verwendet wird, das gleiche Problem aufweist, und führte durch nachfolgende Patches entsprechende Abhilfemaßnahmen ein, um mit den universellen Upstream-Fixes konsistent zu sein.
Im Hinblick auf die tatsächlichen Risiken ist es nicht verwunderlich, dass diese Schwachstelle als „kritisch“ eingestuft wird, da diese Schwachstelle unter bestimmten Bedingungen Schreibvorgänge auf hochprivilegierte Ressourcen realisieren kann und Angreifern theoretisch die Möglichkeit bietet, lokale Privilegien zu eskalieren.
Allerdings gibt es derzeit keine groß angelegten tatsächlichen Anwendungsfälle, über die öffentlich berichtet wurde. Die Branche konzentriert sich hauptsächlich darauf, Reparaturen auf Kernel- und Systemsoftware-Ebene so schnell wie möglich durchzuführen, um möglichen Folgeangriffsszenarien vorzubeugen.
Für Linux-Benutzer und Serverbetreiber besteht derzeit die wichtigste Maßnahme darin, auf die Kernel-Updates zu achten, die von den großen Distributionen bereitgestellt werden, und die Upgrade-Bereitstellung so schnell wie möglich abzuschließen.
Zuvor müssen Cloud-Dienstleister, große Rechenzentren und Gerätehersteller, die auf der betroffenen Arm-Plattform basieren, auch die Prozessormodelle und Arbeitslastszenarien bewerten, die von ihrer eigenen Hardware verwendet werden, und den von der Arm- und Linux-Community herausgegebenen Abhilfeempfehlungen umgehend Folge leisten.