#pixel

Google Project Zeroが、Pixel 10でも使える0-click exploit chain（ユーザー操作なしで成立する攻撃の連鎖）を公開した 入口は音声処理のDolby系脆弱性、出口は新しい VPU driver の重大な欠陥だった Pixel 10では旧来の BigWave driver がなく、その代わりに別のドライバ /dev/vpu が使われていた そのVPU driverには、`mmap` の実装ミスでkernelの広い範囲を userspace から触れるレベルの致命傷があった 修正は比較的早く、報告から71日後にパッチが配信された 一方で、こうした「見ればすぐ危険だとわかる」コードが残っていたのは、やっぱりかなり怖い Google Project Zeroが、Pixel 10向けの0-click exploit chainを公開しました。 0-clickというのは、ユーザーが何も操作しなくても攻撃が成立するという意味です。たとえば、怪しいリンクを開く必要も、ファイルを保存する必要もない。攻撃のハー