A Google hétfőn bejelentette az Android biztonsági frissítések legújabb csomagjának kiadását, amely közel 130 sérülékenységet javít, köztük egy már aktívan kihasznált nulladik napi (zero-day) sérülékenységet is.
A kihasznált sebezhetőség a CVE-2026-21385 azonosító alatt nyomon követhető (CVSS 7,8), és több mint 200 Qualcomm chipset grafikus komponensét érinti. A sérülékenység egy integer túlcsordulási (integer overflow) problémára vezethető vissza, amely memóriaallokáció során korrupciót eredményezhet.
Adam Boynton, a Jamf vállalati stratégiai menedzsere szerint a sebezhetőség sikeres kihasználása lehetővé teheti a támadók számára, hogy megkerüljék a biztonsági rendszereket és jogosulatlan irányítást szerezzenek a sérülékeny eszköz felett. Ez különösen súlyos kockázatot jelent olyan környezetekben, ahol az érintett eszközök vállalati vagy érzékeny adatokhoz férnek hozzá.
A Qualcomm tájékoztatása szerint a hibát 2025. december 18-án jelentették a Google Android Security csapatán keresztül. A chipgyártó február 2-án értesítette ügyfeleit a sérülékenységről, majd nyilvánosan közzétette a biztonsági közleményt.
A Google az Android 2026. márciusi biztonsági közleményében arról tájékoztat, hogy megfigyeléseik alapján a sebezhetőség korlátozott számban, célzott támadások gyanánt már aktív kihasználás alatt áll. A vállalat nem osztott meg részleteket a konkrét támadásokról, ugyanakkor az ilyen típusú sérülékenységeket a gyakorlatban gyakran használják ki kereskedelmi kémszoftver-fejlesztők.
A hiba javítása az idei márciusi Android-frissítések második csomagjával érkezik, várhatóan a cikk megjelenésétől számított pár napon belül. A patch több mint 60 sérülékenységet orvosol majd a kernelben, valamint az Arm, Imagination Technologies, MediaTek, Unisoc és Qualcomm komponenseiben.
A Google szerint a legnagyobb veszélyt az jelenti, ha a System komponensben olyan kritikus sérülékenység található, amely külön jogosultságok nélkül is távoli kódfuttatást tesz lehetővé, és ha a kihasználásához nincs szükség felhasználói beavatkozásra. Egy ilyen sérülékenység gyakorlatilag teljes mértékben automatizálható, ami jelentősen növeli az általa okozott fenyegetés méretét.
Azok az eszközök, amelyek legalább 2026-03-05 biztonsági javítási szinten futnak, az összes ismertetett sérülékenység javítását tartalmazzák majd.