Pixel 10零点击漏洞利用链：杜比漏洞更新，VPU驱动现严重漏洞

【Project Zero相关信息】Project Zero有博客存档、漏洞报告、关于、在Project Zero工作、0day电子表格、0day根本原因分析、漏洞披露政策、报告透明度等内容还有搜索功能。【Pixel 10零点击漏洞利用链研究背景】我们最近发布针对Google Pixel 9的漏洞利用链证明两次漏洞利用可零点击获取Android系统root权限。杜比零点击漏洞曾存在于所有Android设备2026年1月被修复。我们想为Pixel 10编写类似漏洞利用链。【更新杜比漏洞利用程序】修改针对CVE - 2025 - 54957的漏洞利用程序相对简单主要是更新针对Pixel 9特定版本库计算的偏移量为Pixel 10库中类似偏移量。Pixel 10使用RET PAC代替 - fstack - protector导致__stack_chk_fail无法被代码覆盖我们使用dap_cpdp_init初始化代码解决问题更新后的杜比UDC漏洞利用程序可获取仅适用于未打补丁安全补丁级别为2025年12月或更早的设备。【BigWave的移除与VPU的加入】将漏洞利用链中的本地提权环节移植到Pixel 10不可行因该设备未预装BigWave驱动程序。但在/dev/vpu的mediacodec SELinux上下文中发现新驱动程序用于与ChipsMedia Wave677DV芯片搭载于Tensor G5芯片交互以加速视频解码由开发BigWave驱动程序的同一组开发人员开发和维护。我们与扬·霍恩合作审计该VPU驱动程序2小时发现严重漏洞。【内核漏洞的“圣杯”】特定漏洞引起我们注意其mmap处理程序将VPU硬件的MMIO寄存器区域映射到用户空间虚拟地址空间时不限制寄存器区域大小调用者可将任意多物理内存映射到用户空间利用此漏洞用户空间可访问和修改内核映像。攻击者可覆盖内核函数获得内核代码执行权限。由于Pixel内核始终位于相同物理地址VPU内存区域与内核偏移量已知攻击更易。利用此漏洞实现对内核任意读写只需5行代码编写完整漏洞利用程序不到一天。【补丁处理过程】2025年11月24日报告此漏洞Android VRP将问题评为“高”严重级别相比用于Pixel 9提权的BigWave漏洞最初被评为“中”严重级别有进步。该漏洞在首次报告后71天内修复并在2月的Pixel安全公告中发布修复速度较快。【结论】这项研究有积极和消极两方面。对VPU漏洞的处理表明Android的漏洞分类流程有明显进展及时修复严重漏洞有助于保护许多Android设备。但也凸显Android驱动程序需要更完善、更注重安全的代码我们发现VPU驱动程序仍存在严重且易发现的漏洞加强驱动程序安全是确保Android生态系统安全的关键优先事项我们鼓励供应商改进软件开发实践防止此类漏洞影响最终用户。安全报告揭示产品团队遗漏的问题软件供应商应确保软件产品无漏洞软件团队应积极进行软件安全、代码审计和漏洞修复工作让零日漏洞难以出现。