Google发布Android三月安全更新:修复129个漏洞,包括已被主动利用的Qualcomm零日漏洞CVE-2026-21385
Google于2026年3月发布了Android安全更新,修复了创纪录的129个安全漏洞,其中包括一个已被主动利用的Qualcomm零日漏洞CVE-2026-21385。
漏洞详情
CVE-2026-21385是Qualcomm图形组件中的一个内存损坏漏洞,CVSS评分为7.8(高危)。该漏洞源于内存分配对齐处理时的整数溢出(CWE-190),允许具有低权限的本地攻击者破坏设备的机密性、完整性和可用性。
影响范围
该漏洞影响超过234款Qualcomm芯片组,包括:
- Snapdragon 8 Gen 1/2/3移动平台及Elite系列
- Snapdragon 4/6/7 Gen系列移动平台
- 汽车平台(SA6155、SA8155、SA8255、SA8295等)
- FastConnect WiFi/蓝牙芯片组
- WCN连接芯片组
- 机器人平台(RB2、RB5)
- XR/AR平台(XR2、AR1 Gen 1)
- IoT和视觉智能平台
披露时间线
- 2025年12月18日:Google Android安全团队向Qualcomm报告该漏洞
- 2026年2月2日:Qualcomm通知OEM客户
- 2026年3月2日:公开披露并发布补丁
- 2026年3月3日:CISA将其添加到已知被利用漏洞(KEV)目录
其他关键漏洞
除了CVE-2026-21385,本次更新还修复了以下严重漏洞:
CVE-2026-0006(CVSS 9.8)
Android System/Media Codecs组件中的零点击远程代码执行漏洞,无需用户交互即可触发。
CVE-2026-0047(CVSS 9.8)
Android Framework中的本地权限提升漏洞,允许应用在没有额外执行权限的情况下获得提升的权限。
CVE-2024-43859(CVSS 9.8)
Flash-Friendly File System(F2FS)中的内核权限提升漏洞。
安全建议
Google建议所有Android用户立即更新设备至最新的安全补丁级别(2026-03-05或更高)。对于企业环境,安全团队应:
- 优先验证高价值用户的设备补丁级别
- 对未经验证的设备限制敏感访问
- 监控异常活动指标
- 通过MDM推送安全更新
CISA已将CVE-2026-21385添加到KEV目录,要求联邦民用机构在2026年3月24日前应用修复程序。