Корпорация Google официально подтвердила факт активной эксплуатации в дикой природе уязвимости высокой степени опасности, затрагивающей устройства на базе ОС Android. Проблема локализована в компоненте Graphics component с открытым исходным кодом, разработанном производителем чипов Qualcomm. Выявленная угроза была устранена в рамках выпуска ежемесячного бюллетеня по безопасности Android (Monthly Android security bulletin) в понедельник в марте 2026 года.
Данная брешь получила идентификатор CVE-2026-21385 и оценку в 7.8 балла по шкале CVSS. Техническая природа проблемы заключается в избыточном чтении буфера и целочисленном переполнении. В официальной документации причина сбоя описывается как «повреждение памяти при добавлении данных, предоставленных пользователем, без проверки доступного пространства буфера». Хотя точные методы атак не разглашаются, Google фиксирует признаки, указывающие на «ограниченную, целенаправленную эксплуатацию» уязвимости злоумышленниками.
Хронология выявления и устранения проблемы началась 18 декабря 2025 года, когда команда Google's Android Security team впервые сообщила компании Qualcomm об обнаруженном дефекте. Впоследствии, 2 февраля 2026 года, производитель чипов выпустил специализированный документ Qualcomm advisory, в котором уведомил своих клиентов о наличии проблемы в системе безопасности.
Устранение CVE-2026-21385 стало частью масштабного пакета March 2026 update, который включает в себя исправления 129 уязвимостей. Этот показатель демонстрирует аномальный всплеск количества патчей в историческом контексте: для сравнения, в январе 2026 года была устранена всего 1 уязвимость Android, а в феврале 2026 года разработчики закрыли ровно 0 уязвимостей.
Для обеспечения максимальной гибкости и скорости внедрения исправлений компаниями-партнерами (Android partners), структура мартовского обновления разделена на 2 уровня патчей (patch levels). Первый уровень, датированный 1 марта 2026 года (2026-03-01), сфокусирован на устранении общих системных уязвимостей платформы.
Второй уровень патчей, датированный 5 марта 2026 года (2026-03-05), предназначен для глубокого системного вмешательства. Он закрывает бреши в компонентах ядра (Kernel components), а также устраняет уязвимости в проприетарном оборудовании от сторонних производителей аппаратного обеспечения, среди которых числятся Arm, Imagination Technologies, MediaTek, Unisoc и непосредственно Qualcomm.
Помимо проблемы в графическом драйвере, мартовский пакет закрывает ряд других критических багов. В компоненте System component была устранена критическая уязвимость CVE-2026-0006, которая допускала удаленное выполнение кода (RCE) без необходимости взаимодействия с пользователем или получения дополнительных привилегий. Там же исправлен критический баг CVE-2025-48631, вызывавший отказ в обслуживании (DoS). Одновременно в компоненте Framework component ликвидирована критическая уязвимость CVE-2026-0047, приводившая к повышению привилегий в системе.
Значительная часть обновления затронула базовую архитектуру операционной системы. Разработчики закрыли сразу 7 специфических уязвимостей, ведущих к повышению привилегий в компонентах ядра (Kernel Privilege Escalation Flaws). Данной группе исправлений присвоены следующие официальные идентификаторы: CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 и CVE-2026-0031.
Данная брешь получила идентификатор CVE-2026-21385 и оценку в 7.8 балла по шкале CVSS. Техническая природа проблемы заключается в избыточном чтении буфера и целочисленном переполнении. В официальной документации причина сбоя описывается как «повреждение памяти при добавлении данных, предоставленных пользователем, без проверки доступного пространства буфера». Хотя точные методы атак не разглашаются, Google фиксирует признаки, указывающие на «ограниченную, целенаправленную эксплуатацию» уязвимости злоумышленниками.
Хронология выявления и устранения проблемы началась 18 декабря 2025 года, когда команда Google's Android Security team впервые сообщила компании Qualcomm об обнаруженном дефекте. Впоследствии, 2 февраля 2026 года, производитель чипов выпустил специализированный документ Qualcomm advisory, в котором уведомил своих клиентов о наличии проблемы в системе безопасности.
Устранение CVE-2026-21385 стало частью масштабного пакета March 2026 update, который включает в себя исправления 129 уязвимостей. Этот показатель демонстрирует аномальный всплеск количества патчей в историческом контексте: для сравнения, в январе 2026 года была устранена всего 1 уязвимость Android, а в феврале 2026 года разработчики закрыли ровно 0 уязвимостей.
Для обеспечения максимальной гибкости и скорости внедрения исправлений компаниями-партнерами (Android partners), структура мартовского обновления разделена на 2 уровня патчей (patch levels). Первый уровень, датированный 1 марта 2026 года (2026-03-01), сфокусирован на устранении общих системных уязвимостей платформы.
Второй уровень патчей, датированный 5 марта 2026 года (2026-03-05), предназначен для глубокого системного вмешательства. Он закрывает бреши в компонентах ядра (Kernel components), а также устраняет уязвимости в проприетарном оборудовании от сторонних производителей аппаратного обеспечения, среди которых числятся Arm, Imagination Technologies, MediaTek, Unisoc и непосредственно Qualcomm.
Помимо проблемы в графическом драйвере, мартовский пакет закрывает ряд других критических багов. В компоненте System component была устранена критическая уязвимость CVE-2026-0006, которая допускала удаленное выполнение кода (RCE) без необходимости взаимодействия с пользователем или получения дополнительных привилегий. Там же исправлен критический баг CVE-2025-48631, вызывавший отказ в обслуживании (DoS). Одновременно в компоненте Framework component ликвидирована критическая уязвимость CVE-2026-0047, приводившая к повышению привилегий в системе.
Значительная часть обновления затронула базовую архитектуру операционной системы. Разработчики закрыли сразу 7 специфических уязвимостей, ведущих к повышению привилегий в компонентах ядра (Kernel Privilege Escalation Flaws). Данной группе исправлений присвоены следующие официальные идентификаторы: CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 и CVE-2026-0031.
