El proyecto FreeBSD publicó el 9 de junio de 2026 el aviso FreeBSD-SA-26:31.arm64, que aborda CVE-2025-10263, un erratum de hardware presente en una larga lista de procesadores Arm de 64 bits. No es un bug de FreeBSD como tal, sino un comportamiento defectuoso de la CPU que el sistema operativo tiene que rodear desde el kernel.
Qué falla exactamente
Cuando el sistema cambia los permisos de una tabla de páginas (por ejemplo, marca una región como solo lectura), el procesador debe ejecutar una instrucción TLB Invalidate (TLBI) seguida de una barrera de sincronización de datos (DSB) para que el cambio surta efecto de forma ordenada. En las CPU afectadas el orden entre las escrituras pendientes y esa secuencia TLBI+DSB puede ser incorrecto.
La consecuencia es que el software puede escribir en una página de memoria después de que sus permisos se hayan modificado para impedirlo. Es una condición de carrera de microarquitectura, no un error de programación visible en el código.
A quién afecta
El aviso enumera unos 20 modelos de Arm, desde el Cortex-A76 hasta el Cortex-X925, además de núcleos Neoverse y procesadores Ampere. Cubre buena parte del hardware Arm de servidor y escritorio reciente, así que no es un caso de nicho.
Por el lado del sistema, están afectadas todas las ramas soportadas de FreeBSD sobre arm64:
- stable/15 y las releng/15.1 y 15.0
- stable/14 y las releng/14.4 y 14.3
Si corres FreeBSD en una placa o instancia Arm con alguno de esos núcleos, te toca.
Gravedad
FreeBSD la clasifica como de gravedad alta. El impacto descrito es escalada de privilegios: el fallo permitiría que software escriba en memoria propiedad de un nivel de excepción superior, lo que abre la puerta a saltar a ese nivel (por ejemplo, de userland a kernel, o entre niveles de excepción más altos). No es ejecución remota: hace falta ejecutar código en la máquina, pero a partir de ahí el techo de privilegios deja de ser fiable.
Mitigación y parche
FreeBSD no puede arreglar el silicio, así que el kernel aplica una mitigación que fuerza el orden correcto de las operaciones de tabla de páginas. Para protegerte tienes que actualizar el kernel y reiniciar: sin reinicio la mitigación no entra en juego.
Las vías de actualización según tu instalación:
- Paquetes base (15.0 en amd64/arm64):
pkg upgrade -r FreeBSD-base - Actualización estándar:
freebsd-update fetch && freebsd-update install - Desde fuente: descarga el parche desde security.FreeBSD.org, verifica la firma PGP, aplícalo con
patchy recompila el kernel.
Después, reinicia. Comprueba antes la versión del sistema y la rama que tienes para coger el paquete o el parche correcto, sobre todo si mantienes varias instancias Arm.
Si te interesa el detalle de las versiones soportadas y los ciclos de actualización de FreeBSD, tienes más contexto en la ficha de FreeBSD.
Fuente
- Aviso oficial: FreeBSD-SA-26:31.arm64
- Detalle del CVE: CVE-2025-10263 en NVD