谷歌于周一披露,影响Android设备中使用的开源高通组件的高严重性安全漏洞已在野外被恶意利用。
该漏洞为CVE-2026-21385(CVSS评分:7.8),是Graphics组件中的缓冲区越界读取问题。
高通在公告中描述该漏洞为"在添加用户提供的数据时未检查可用缓冲区空间导致的内存损坏",将其定义为整数溢出问题。
这家芯片制造商表示,该漏洞是谷歌Android安全团队于2025年12月18日向其报告的。客户于2026年2月2日收到了安全缺陷通知。
目前尚无该漏洞在野外被利用方式的详细信息。不过,谷歌在其月度Android安全公告中承认"有迹象表明CVE-2026-21385可能正在遭受有限的定向攻击"。
谷歌2026年3月更新总共包含129个漏洞的补丁,其中包括系统组件中的一个关键漏洞(CVE-2026-0006),该漏洞可能导致远程代码执行,且无需任何额外权限或用户交互。相比之下,谷歌在2026年1月修复了一个Android漏洞,上月则没有修复任何漏洞。
谷歌还修补了多个关键级别的漏洞:Framework中的权限提升漏洞(CVE-2026-0047)、System中的拒绝服务攻击漏洞(CVE-2025-48631),以及Kernel组件中的七个权限提升漏洞(CVE-2024-43859、CVE-2026-0037、CVE-2026-0038、CVE-2026-0027、CVE-2026-0028、CVE-2026-0030和CVE-2026-0031)。
Android安全公告包含两个补丁级别——2026-03-01和2026-03-05——为Android合作伙伴提供灵活性,以便在不同设备上更快地解决常见漏洞。
第二个补丁级别包括对Kernel组件的修复,以及来自Arm、Imagination Technologies、联发科、高通和紫光展锐的修复。
Q&A
Q1:CVE-2026-21385漏洞是什么?影响哪些设备?
A:CVE-2026-21385是一个影响Android设备中高通Graphics组件的高严重性安全漏洞,CVSS评分为7.8分。它是一个缓冲区越界读取问题,由于在添加用户提供的数据时未检查可用缓冲区空间导致内存损坏。该漏洞影响使用高通组件的Android设备。
Q2:这个漏洞目前被如何利用?
A:谷歌确认该漏洞已在野外被恶意利用,但目前尚未公开具体的利用方式。谷歌在安全公告中表示"有迹象表明CVE-2026-21385可能正在遭受有限的定向攻击",说明攻击范围相对有限且具有针对性。
Q3:谷歌2026年3月更新修复了多少个漏洞?
A:谷歌2026年3月安全更新总共修复了129个漏洞,包括一个可能导致远程代码执行的关键系统组件漏洞、多个权限提升漏洞和拒绝服务攻击漏洞等。更新提供了两个补丁级别,以便Android合作伙伴能够更灵活地在不同设备上部署安全修复。
热门跟贴