IT之家5月15日音讯，谷歌ProjectZero团队昨日（5月13日）发布博文，表现适用于Pixel10手机的“零点击”提权挫折链，已在本年2月安全更新中成立。

本次提权挫折链先沿用并退换Dolby舛诈骗骗，再借助VPU驱动中的mmap鸿沟校验缺失，把轻易物理内存映射到用户态，最终可读写内核并拿到内核代码现实。

在本次提权挫折链路的第一秩序，筹谋东谈主员膨胀其1月针对Pixel9发布的3篇筹谋，更新诈骗DolbyUnifiedDecoder舛讹（跟踪编号CVE-2025-54957）。

IT之家注：这个库厚爱科罚DolbyDigital音频方法，鸿沟不单安卓，也集成在iOS、Windows和流媒体斥地中。

问题在于，许多安卓斥地会在用户怒放音讯前，先为GoogleMessages收到的音频音讯作念转写。于是坏心音频文献唯有发到宗旨手机，就可能在无交互气象下触发舛讹，这亦然“零点击”风险最让东谈主头疼的所在。

Pixel10给与RETPAC，原先可袒护的__stack_chk_fail不再可用，因此他们改为袒护dap_cpdp_init脱手化代码。

在第二提权秩序，Pixel9上用于提权的是BigWaveAV1解码驱动，但Pixel10已不再使用它。Jenkins与JannHorn转而查验TensorG5的VPU驱动，只花了2小时就发现一个严重舛讹。

该驱动未给与V4L2（VideoforLinuxAPI，开运体育中国官方网站Linux视频接口），而是把硬件接口更平直地清晰给用户态，以致允许映射MMIO（内存映射输入输出）寄存器区域，这显耀举高了风险。

这个舛讹出在驱动的mmap科罚逻辑：它按VMA大小调用remap_pfn_range，却莫得截止到硬件寄存器区域本人的大小，效果调用者可把轻易数目的物理内存映射到用户态，以致包括系数这个词内核镜像。

挫折者险些不需要复杂绕路。筹谋称，Pixel斥地内核总位于固定物理地址，挫折者能平直推算它相对mmap复返地址的位置，无须再罕见扫描。

Jenkins暗示，要拿到内核轻易读写权限，只用了5行代码，好意思满诈骗代码不到1天就写完。这也讲明问题不单在单个舛讹本人，还在于驱动层的基础驻防显然跟不上系统科罚多媒体本体的速率。

成立方面，Jenkins于2025年11月24日上报该VPU舛讹，71天后，Google在2026年2月Pixel安全公告中完成成立。

Dolby相干诈骗则只影响2025年12月或更早SPL的斥地，Pixel10手机用户可在“缔造”→“对于手机”→“Android安全更新”中稽查版块，证据是否受到影响。

开运体育中国官网入口