谷歌于周一披露，影響Android設(shè)備中使用的開源高通組件的高嚴(yán)重性安全漏洞已在野外被惡意利用。

該漏洞為CVE-2026-21385（CVSS評分：7.8），是Graphics組件中的緩沖區(qū)越界讀取問題。

高通在公告中描述該漏洞為"在添加用戶提供的數(shù)據(jù)時(shí)未檢查可用緩沖區(qū)空間導(dǎo)致的內(nèi)存損壞"，將其定義為整數(shù)溢出問題。

這家芯片制造商表示，該漏洞是谷歌Android安全團(tuán)隊(duì)于2025年12月18日向其報(bào)告的?？蛻粲?026年2月2日收到了安全缺陷通知。

目前尚無該漏洞在野外被利用方式的詳細(xì)信息。不過，谷歌在其月度Android安全公告中承認(rèn)"有跡象表明CVE-2026-21385可能正在遭受有限的定向攻擊"。

谷歌2026年3月更新總共包含129個(gè)漏洞的補(bǔ)丁，其中包括系統(tǒng)組件中的一個(gè)關(guān)鍵漏洞（CVE-2026-0006），該漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行，且無需任何額外權(quán)限或用戶交互。相比之下，谷歌在2026年1月修復(fù)了一個(gè)Android漏洞，上月則沒有修復(fù)任何漏洞。

谷歌還修補(bǔ)了多個(gè)關(guān)鍵級別的漏洞：Framework中的權(quán)限提升漏洞（CVE-2026-0047）、System中的拒絕服務(wù)攻擊漏洞（CVE-2025-48631），以及Kernel組件中的七個(gè)權(quán)限提升漏洞（CVE-2024-43859、CVE-2026-0037、CVE-2026-0038、CVE-2026-0027、CVE-2026-0028、CVE-2026-0030和CVE-2026-0031）。

Android安全公告包含兩個(gè)補(bǔ)丁級別——2026-03-01和2026-03-05——為Android合作伙伴提供靈活性，以便在不同設(shè)備上更快地解決常見漏洞。

第二個(gè)補(bǔ)丁級別包括對Kernel組件的修復(fù)，以及來自Arm、Imagination Technologies、聯(lián)發(fā)科、高通和紫光展銳的修復(fù)。

Q&A

Q1：CVE-2026-21385漏洞是什么？影響哪些設(shè)備？

A：CVE-2026-21385是一個(gè)影響Android設(shè)備中高通Graphics組件的高嚴(yán)重性安全漏洞，CVSS評分為7.8分。它是一個(gè)緩沖區(qū)越界讀取問題，由于在添加用戶提供的數(shù)據(jù)時(shí)未檢查可用緩沖區(qū)空間導(dǎo)致內(nèi)存損壞。該漏洞影響使用高通組件的Android設(shè)備。

Q2：這個(gè)漏洞目前被如何利用？

A：谷歌確認(rèn)該漏洞已在野外被惡意利用，但目前尚未公開具體的利用方式。谷歌在安全公告中表示"有跡象表明CVE-2026-21385可能正在遭受有限的定向攻擊"，說明攻擊范圍相對有限且具有針對性。

Q3：谷歌2026年3月更新修復(fù)了多少個(gè)漏洞？

A：谷歌2026年3月安全更新總共修復(fù)了129個(gè)漏洞，包括一個(gè)可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行的關(guān)鍵系統(tǒng)組件漏洞、多個(gè)權(quán)限提升漏洞和拒絕服務(wù)攻擊漏洞等。更新提供了兩個(gè)補(bǔ)丁級別，以便Android合作伙伴能夠更靈活地在不同設(shè)備上部署安全修復(fù)。