Google публикува актуализации за Android, които закърпват 129 уязвимости, сред които и CVE-2026-21385 – zero-day уязвимост в графичната подсистема на Qualcomm, за която има индикации за ограничена, целенасочена експлоатация.

Qualcomm уточнява, че проблемът е integer overflow или wraparound, който местни атакуващи могат да използват за корупция на паметта. Уязвимостта засяга 235 чипсета на Qualcomm и е била докладвана на 18 декември 2025 г. от екипа на Google за Android Security.

Други критични уязвимости

В допълнение към zero-day CVE-2026-21385, Google фиксира 10 критични уязвимости в System, Framework и Kernel компоненти, които могат да позволят:

• Remote code execution

• Ескалация на привилегии

• Denial-of-service атаки

Според Google, най-сериозната от тези уязвимости позволява отдалечено изпълнение на код без нужда от допълнителни права и без потребителско взаимодействие.

Публикувани пачове

• 2026-03-01 Security Patch Level – първоначални фиксове

• 2026-03-05 Security Patch Level – включва всички поправки от 03.01 плюс пачове за затворени трети страни и kernel субкомпоненти, които може да не се прилагат за всички Android устройства

Google Pixel устройства получават пачовете незабавно, докато други производители обикновено изискват време за адаптация към специфичния хардуер.

Предишни zero-day уязвимости

През декември 2025 г. Google пусна пачове за CVE-2025-48633 и CVE-2025-48572, които също бяха маркирани като „под ограничена, целенасочена експлоатация“, подчертавайки тенденцията за целеви атаки срещу Android устройства с критични уязвимости.