Google официально признала, что в её ежемесячном бюллетене безопасности Android содержится информация о серьёзной уязвимости, уже используемой злоумышленниками в реальных атаках. Проблема затрагивает открытый компонент Qualcomm, который применяется во многих Android‑устройствах по всему миру.
Что известно о баге и последствиях
Уязвимость с идентификатором CVE‑2026‑21385 получила высокий рейтинг опасности (CVSS 7.8) и классифицируется как ошибка чтения за пределами буфера. Это происходит из‑за переполнения целочисленной переменной в графическом компоненте, когда данные, поступающие от пользователя, обрабатываются без проверки доступного размера буфера. При этом происходит повреждение памяти, что потенциально позволяет злоумышленникам нарушить работу системы.
Qualcomm подтвердила, что ошибка была впервые сообщена через команду безопасности Android в декабре 2025 года, а производителям оборудования уведомление было отправлено 2 февраля 2026 года.
Эксплуатация
Google прямо указала в своем бюллетене, что имеются признаки ограниченной, целевой эксплуатации уязвимости в реальном мире, то есть злоумышленники уже пытаются её использовать. Однако подробностей о том, каким именно способом происходит эксплуатация, компания не раскрыла.
Эксплуатация таких багов особенно опасна на устройствах с уязвимыми чипсетами Qualcomm, поскольку они могут воздействовать на критические части системы, обходя защитные границы и потенциально получая доступ к защищённой памяти.
Обновления безопасности
Обновление безопасности за март 2026 года содержит патчи для 129 различных уязвимостей, что делает этот бюллетень одним из самых больших за последнее время. Помимо CVE‑2026‑21385 в него вошли:
Критическая уязвимость в системном компоненте, способная привести к удалённому выполнению кода (RCE) без участия пользователя.
Ошибки повышения привилегий в различных подсистемах Android, включая Framework и Kernel.
Уязвимости, приводящие к отказу в обслуживании (DoS), и другие серьёзные сбои системы.
Google разделила обновления на два уровня безопасности 2026‑03‑01 и 2026‑03‑05 чтобы партнёрам и производителям было проще быстрее внедрить исправления на разных устройствах. Второй уровень включает исправления для закрытых компонентов от крупных вендоров (Arm, MediaTek, Imagination Technologies, Qualcomm и Unisoc), а также исправления для ядра системы Linux.
Пользователи Android должны как можно скорее установить последние обновления безопасности. Устройства Google Pixel получают обновления быстрее всех, но остальные производители могут задерживать выпуск патчей из‑за необходимости адаптации под конкретное оборудование.
Источник: HN