本周一,谷歌宣布推出新的安卓安全更新,包含近130个漏洞的补丁,其中一个漏洞已遭利用。这个已遭利用的漏洞编号是CVE-2026-21385(CVSS评分7.8),影响200多个高通芯片集的图形组件,是整数上溢或回绕问题,当使用内存分配的字节对齐时会导致内存损坏。
据Jamf公司的高级企业战略经理 Adam Boynton称,成功利用该漏洞可能使攻击者“绕过安全控制,获得对系统的未授权控制权限”。高通在安全公告中提到,该漏洞在2025年12月18日通过谷歌安卓安全团队报送,谷歌在2月2日将漏洞告知客户并在周一披露。
谷歌在安全公告中提到,“有线索表明CVE-2026-21385可能遭到有限的针对性利用。”虽然该公司并未详述相关攻击详情,但此类漏洞经常遭商业监控软件厂商利用。
该漏洞的修复方案已包含在本月安全更新的第二部(2026-03-05安全补丁级别)。该补丁级别修复了位于内核、Arm、Imagination Technologies、联发科、Unisoc 和高通组件中的60多个漏洞。该更新的第一部分(2026-03-01安全补丁级别)包含50多个漏洞,它们位于 Framework 和 System 组件中,其中一些严重漏洞可导致任意代码执行和拒绝服务后果。谷歌提到,“其中最严重的漏洞位于系统组件中,无需其它执行权限即可导致远程代码执行后果。利用该漏洞无需用户交互。”
运行2026-03-05或更高安全级别的设备中包含所有漏洞的补丁。
本周一,谷歌还宣布发布两个 Wear OS 漏洞的修复方案,这些漏洞影响该平台的 Framework 和 System 组件。该更新中还包括安卓2026年3月份安全通告中所说明的所有漏洞的补丁。
谷歌表示,本月安卓Automotive OS 和 Android XR 更新中并不包含针对特定平台的补丁。
