El projecte FreeBSD va publicar el 9 de juny de 2026 l’avís FreeBSD-SA-26:31.arm64, que tracta CVE-2025-10263, un erratum de maquinari present en una llarga llista de processadors Arm de 64 bits. No és un error de FreeBSD pròpiament dit, sinó un comportament defectuós de la CPU que el sistema operatiu ha de rodejar des del kernel.
Què falla exactament
Quan el sistema canvia els permisos d’una taula de pàgines (per exemple, marca una regió com a només lectura), el processador ha d’executar una instrucció TLB Invalidate (TLBI) seguida d’una barrera de sincronització de dades (DSB) perquè el canvi tingui efecte de manera ordenada. En les CPU afectades, l’ordre entre les escriptures pendents i aquesta seqüència TLBI+DSB pot ser incorrecte.
La conseqüència és que el programari pot escriure en una pàgina de memòria després que els seus permisos s’hagin modificat per impedir-ho. És una condició de cursa de microarquitectura, no un error de programació visible al codi.
A qui afecta
L’avís enumera uns 20 models d’Arm, des del Cortex-A76 fins al Cortex-X925, a més de nuclis Neoverse i processadors Ampere. Cobreix bona part del maquinari Arm de servidor i escriptori recent, així que no és un cas de nínxol.
Pel costat del sistema, estan afectades totes les branques suportades de FreeBSD sobre arm64:
- stable/15 i les releng/15.1 i 15.0
- stable/14 i les releng/14.4 i 14.3
Si fas servir FreeBSD en una placa o instància Arm amb algun d’aquests nuclis, et toca.
Gravetat
FreeBSD la classifica com de gravetat alta. L’impacte descrit és escalada de privilegis: el problema permetria que el programari escrigui a memòria propietat d’un nivell d’excepció superior, cosa que obre la porta a saltar a aquest nivell (per exemple, de userland al kernel, o entre nivells d’excepció més alts). No és execució remota: cal executar codi a la màquina, però a partir d’aquí el sostre de privilegis deixa de ser fiable.
Mitigació i pegat
FreeBSD no pot arreglar el silici, així que el kernel aplica una mitigació que força l’ordre correcte de les operacions de taula de pàgines. Per protegir-te has d’actualitzar el kernel i reiniciar: sense reinici la mitigació no entra en joc.
Les vies d’actualització segons la teva instal·lació:
- Paquets base (15.0 a amd64/arm64):
pkg upgrade -r FreeBSD-base - Actualització estàndard:
freebsd-update fetch && freebsd-update install - Des de codi font: descarrega el pegat des de security.FreeBSD.org, verifica la signatura PGP, aplica’l amb
patchi recompila el kernel.
Després, reinicia. Comprova abans la versió del sistema i la branca que tens per agafar el paquet o el pegat correcte, sobretot si mantens diverses instàncies Arm.
Si t’interessa el detall de les versions suportades i els cicles d’actualització de FreeBSD, tens més context a la fitxa de FreeBSD.
Font
- Avís oficial: FreeBSD-SA-26:31.arm64
- Detall del CVE: CVE-2025-10263 a NVD