Cadeia de Exploit 0-Click no Pixel 10: Quando uma Porta Fecha, uma Janela Abre

Seth Jenkins, do Project Zero, adaptou um exploit 0-click anterior (CVE-2025-54957) do Pixel 9 Dolby UDC para o Pixel 10. Isso foi feito remapeando offsets, substituindo o overwrite de __stack_chk_fail (bloqueado por PAC) por dap_cpdp_init, e trocando o exploit de elevação de privilégio (LPE) BigWave ausente por uma falha trivial no novo driver VPU Tensor G5 (/dev/vpu, Chips&Media Wave677DV). Nesta falha, vpu_mmap usa remap_pfn_range com o tamanho VMA fornecido pelo chamador, sem limitar à região de registro MMIO. Como o kernel do Pixel está em um offset físico fixo e conhecido acima da região de registro da VPU, um mmap superdimensionado expõe .text e .data do kernel para leitura/escrita arbitrária em cinco linhas de código, permitindo execução de código kernel a partir do contexto SELinux do mediacodec. A vulnerabilidade foi reportada em 24 de novembro de 2025, classificada como gravidade Alta, e corrigida 71 dias depois no boletim de segurança do Pixel de fevereiro.