Pixel 10陥落!? Tensor G5搭載VPUに「聖杯級」の脆弱性発見!
📰 ニュース概要
- Google Project Zeroが、Pixel 10(Tensor G5搭載)における0クリックのエクスプロイトチェーンを報告した。
- 新採用されたVPUドライバの
vpu_mmapハンドラに、マッピングサイズを制限しない致命的な脆弱性が発見された。 - このバグを利用することで、攻撃者はわずか5行のコードでカーネルの任意読み書き権限を取得できる。
💡 重要なポイント
- VPUドライバの欠陥: Pixel 10から導入されたChips&Media WAVE677DV用のドライバが、ハードウェアインターフェースをユーザ空間に直接公開しており、メモリ境界のチェックが欠落していた。
- 物理アドレスの固定性: Pixelではカーネルの物理アドレスが固定されているため、ASLRをバイパスして正確にカーネル領域を上書き可能になっている。
- 迅速な修正: 2025年11月に報告され、2026年2月のセキュリティアップデートですでに修正済みである。
🦈 サメの眼(キュレーターの視点)
今回の攻撃手法、震えるほどキレ味がいいサメ!Pixel 9で使われていたBigWaveドライバが廃止され、Tensor G5で新たに導入されたVPUドライバがいきなり狙い撃ちにされたサメ。特にvpu_mmapの実装でremap_pfn_rangeを呼び出す際、VMA(バーチャルメモリ領域)のサイズを全く制限していないのは、セキュリティの基本中の基本を忘れた「聖杯級」のミスだサメ!
何より恐ろしいのは、カーネルイメージがVPUレジスタ領域よりも高い物理アドレスに位置していることを利用して、マッピングサイズを大きく指定するだけでカーネルそのものをユーザ空間に引きずり出せている点だサメ。オフセットが既知だからスキャンすら不要…これは開発者にとって悪夢そのものだサメ!
🚀 これからどうなる?
今回の報告を受け、Tensorチップ専用ドライバのコード監査がさらに厳格化されるはずだサメ。Google側も今回のバグを「High severity(高深刻度)」と即座に認定しており、独自シリコンのセキュリティ posture(姿勢)を強化する動きが加速するサメ。ユーザーは2026年2月以降のパッチを必ず適用するサメ!
💬 はるサメ視点の一言
たった5行でカーネルが丸裸なんて、まさにサメの噛みつき一発で沈むような脆弱性だサメ!常に最新アップデートを確認して、身を守るサメよ!
📚 用語解説
-
RET PAC: Pixel 10で採用されたリターンアドレスの保護技術。従来のスタック保護(-fstack-protector)の代わりとして機能する。
-
VPU (Video Processing Unit): 動画のデコードなどを高速化する専用チップ。Pixel 10ではTensor G5内に搭載されている。
-
remap_pfn_range: カーネル空間の物理メモリをユーザ空間の仮想メモリにマッピングする際に使用される関数。