हाल ही में, CVE-2025-10263 क्रमांकित एक गंभीर सुरक्षा भेद्यता का आधिकारिक तौर पर खुलासा किया गया था और उत्पादों की नवीनतम और प्रारंभिक पीढ़ियों को कवर करने वाले कई आर्म आर्किटेक्चर सीपीयू कोर को प्रभावित करने की पुष्टि की गई थी। भेद्यता, जिसे "गंभीर" दर्जा दिया गया है, एक हमलावर को प्रभावित सिस्टम पर स्थानीय विशेषाधिकार वृद्धि प्राप्त करने के लिए विशिष्ट मेमोरी अनुमति परिवर्तनों के दौरान समय की स्थिति का फायदा उठाने की अनुमति देता है।
सार्वजनिक जानकारी के अनुसार, समस्या का मूल कारण यह है कि टीएलबी अमान्यकरण (टीएलबीआई) ऑपरेशन करते समय, टीएलबीआई के पूरा होने से संबंधित मेमोरी एक्सेस के पूरा होने की सख्ती से गारंटी नहीं दी जाती है।
कुछ परिदृश्यों में, यह व्यवहार उन संसाधनों पर अवैध लेखन का कारण बन सकता है जिनका स्वामित्व उच्च अपवाद स्तर (जैसे उच्च विशेषाधिकार स्तर) के पास होना चाहिए, इस प्रकार यह हमलावरों के लिए विशेषाधिकारों को बढ़ाने का एक साधन बन जाता है।
हालाँकि भेद्यता को 2025 में एक नंबर दिया गया था, लेकिन जून 2026 तक इसका आधिकारिक तौर पर सार्वजनिक रूप से खुलासा नहीं किया गया था।
आर्म ने अपनी सुरक्षा सलाह में प्रभावित कोर की काफी विस्तृत सूची दी है।
इनमें नवीनतम C1-अल्ट्रा और C1-प्रीमियम, साथ ही पिछले नियोवर्स V3, V3AE, V2, V1, N2, N1 और सर्वर और डेटा केंद्रों के लिए कोर की अन्य श्रृंखलाएं शामिल हैं।
इसी समय, उच्च-प्रदर्शन वाले मोबाइल और क्लाइंट उपकरणों के लिए बड़ी संख्या में Cortex श्रृंखला भी प्रभावित होती है, जिनमें Cortex-X925, Cortex-X4, Cortex-X3, Cortex-X2, Cortex-X1 और X1C के साथ-साथ Cortex-A710, Cortex-A78, A78AE, A78C, Cortex-A77, Cortex-A76 और A76AE जैसे मॉडल शामिल हैं।
इस समस्या के जवाब में, आर्म द्वारा दिए गए सॉफ़्टवेयर-स्तरीय शमन सुझाव हैं: कोई भी सॉफ़्टवेयर जो प्रथम-स्तर या प्रथम-स्तर प्लस द्वितीय-स्तरीय पृष्ठ तालिका जानकारी पर लागू टीएलबी अमान्यकरण संचालन करता है, उसे एक अतिरिक्त टीएलबीआई ऑपरेशन करना होगा और यह सुनिश्चित करने के लिए डीएसबी (डेटा सिंक्रोनाइज़ेशन बैरियर, डेटा सिंक्रोनाइज़ेशन बैरियर) के साथ सहयोग करना होगा ताकि अनुमतियाँ बदलने से पहले संबंधित मेमोरी एक्सेस सही ढंग से पूरा हो जाए।
संबंधित तकनीकी विवरण और अनुशंसित शमन समाधानों को आर्म द्वारा प्रकाशित सुरक्षा सलाह में प्रलेखित किया गया है।
लिनक्स समुदाय ने तुरंत प्रतिक्रिया दी है और उपरोक्त शमन उपायों को लागू करने के लिए कर्नेल को पैच प्रदान किया है।
प्रभावित परिदृश्यों में टीएलबी विफलताओं को निष्पादित करते समय आवश्यक टीएलबीआई और डीएसबी जोड़े जाने को सुनिश्चित करने के लिए प्रासंगिक कोड पथों को समायोजित करके भेद्यता शोषण के जोखिम को कम करने के लिए आर्म के डेवलपर्स ने आज लिनक्स कर्नेल मेलिंग सूची में पैच की एक श्रृंखला प्रस्तुत की।
पैच को मेनलाइन कर्नेल में सबमिट कर दिया गया है और प्रमुख वितरण अपडेट के माध्यम से उपयोगकर्ताओं के लिए जारी किए जाने की उम्मीद है।
आर्म के आधिकारिक तौर पर सूचीबद्ध प्रोसेसर के अलावा, NVIDIA ने यह भी पुष्टि की कि उसके नवीनतम ओलंपस कोर भी CVE-2025-10263 से प्रभावित हैं।
एनवीआईडीआईए ने लिनक्स कर्नेल को सबमिट किए गए एक अन्य पैच में बताया कि एनवीआईडीआईए वेरा सीपीयू की नई पीढ़ी में उपयोग किए जाने वाले ओलंपस कर्नेल में एक ही समस्या है, और अपस्ट्रीम यूनिवर्सल फिक्स के अनुरूप होने के लिए बाद के पैच के माध्यम से संबंधित शमन उपाय पेश किए हैं।
वास्तविक जोखिमों के संदर्भ में, चूंकि यह भेद्यता कुछ शर्तों के तहत उच्च-विशेषाधिकार प्राप्त संसाधनों के लिए लेखन संचालन का एहसास कर सकती है, और सैद्धांतिक रूप से हमलावरों को स्थानीय विशेषाधिकारों को बढ़ाने का एक तरीका प्रदान कर सकती है, इसलिए यह आश्चर्य की बात नहीं है कि इसे "महत्वपूर्ण" के रूप में दर्जा दिया गया है।
हालाँकि, वर्तमान में कोई बड़े पैमाने पर वास्तविक उपयोग के मामले नहीं हैं जो सार्वजनिक रूप से रिपोर्ट किए गए हों। उद्योग मुख्य रूप से संभावित बाद के हमले के परिदृश्यों को रोकने के लिए कर्नेल और सिस्टम सॉफ़्टवेयर स्तरों पर जल्द से जल्द मरम्मत पूरा करने पर केंद्रित है।
लिनक्स उपयोगकर्ताओं और सर्वर ऑपरेटरों के लिए, इस समय सबसे महत्वपूर्ण कार्रवाई कर्नेल अपडेट पर ध्यान देना है जो प्रमुख वितरणों द्वारा प्रदान किया जाएगा और अपग्रेड परिनियोजन को जल्द से जल्द पूरा करना होगा।
इससे पहले, क्लाउड सेवा प्रदाताओं, बड़े डेटा केंद्रों और प्रभावित आर्म प्लेटफॉर्म पर आधारित उपकरण निर्माताओं को भी अपने स्वयं के हार्डवेयर द्वारा उपयोग किए जाने वाले प्रोसेसर मॉडल और वर्कलोड परिदृश्यों का मूल्यांकन करने की आवश्यकता होती है, और आर्म और लिनक्स समुदायों द्वारा जारी शमन सिफारिशों का तुरंत पालन करना होता है।