Googleの脆弱性調査チームProject Zeroは2026年1月、Pixel 9を対象にしたゼロクリック型サイバー攻撃の実証研究を公開しました。GoogleメッセージがSMSやRCSで受信した音声添付を、ユーザー操作なしで自動的にデコードして文字起こしなどに備える仕様が、音声デコーダをゼロクリックの攻撃面に押し上げたと指摘しています。
何が問題になったのか
Project Zeroが示したのは、音声デコーダの脆弱性を起点に、端末側でバックグラウンド解析が走るだけで侵害につながり得るという点です。
第1段ではDolby Unified Decoderの脆弱性CVE-2025-54957を悪用し、メディアデコード用の隔離プロセスであるmediacodecの文脈で任意コード実行に到達する流れを解説しています。
NVDの説明でもCVE-2025-54957は、DD+の不正ビットストリーム処理で長さ計算が整数の巻き戻りを起こし、結果としてバッファが小さく確保されてアウトオブバウンズ書き込みに至り得る問題だと整理されています。
カーネル侵害までの連鎖も想定
Project Zeroは、この研究が3部構成であることを明示し、続く段でPixel 9上の別の脆弱性CVE-2025-36934を用いてmediacodecから権限を引き上げる流れを扱うとしています。
NVDではCVE-2025-36934について、bigwave関連コードにおける競合に起因するUse After Freeで、ユーザー操作なしにローカル権限昇格につながり得ると説明しています。
修正状況と利用者側の対処
Project Zeroは、今回扱う脆弱性群は2026年1月5日時点で修正済みだとしています。
そのためPixel 9を含む対象端末では、少なくとも2026年1月のセキュリティ更新を適用し、メッセージやメディア処理に関わるコンポーネントを最新状態に保つことが基本対応になります。
関連記事
Windows Cloud Files Mini Filter Driver の脆弱性を悪用するPoCエクスプロイトが公開(CVE-2020-17136,CVE-2025-55680)
Microsoft Office(マイクロソフト オフィス) 2016/2019がサポート終了に到達 いま取るべき対応と移行先まとめ
JR九州 グループ会社ネットワークへ不正アクセス-従業員1万4638人分の個人情報漏洩の恐れ
アメリカの納税シーズンを利用したフィッシング詐欺 キャンペーンの考察と注意喚起
RedisのXACKDEL実装に深刻な脆弱性(CVE-2025-62507)
北朝鮮のIT労働者が日本企業で偽装就労か 実態とセキュリティリスクを解説
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
ダークウェブとは?企業が知っておくべき仕組みと対策
世界最大級のハッカー フォーラム 創設者へ懲役3年
