Специалисты Google выпустили мартовские обновления безопасности для Android, суммарно исправив 129 уязвимостей. Среди них — 0-day проблема в компоненте Qualcomm, которая уже применяется в реальных атаках.

Уязвимость получила идентификатор CVE-2026-21385, и, как отмечают в компании, «есть основания полагать, что баг может подвергаться ограниченной целенаправленной эксплуатации». Никаких подробностей о характере этих атак в Google не раскрывают.

Между тем представители Qualcomm пояснили в отдельном бюллетене безопасности, что проблема представляет собой целочисленное переполнение (integer overflow/wraparound) в подкомпоненте Graphics. Локальные атакующие могут использовать эту уязвимость для повреждения информации в памяти. По данным Qualcomm, проблема затрагивает 235 чипсетов компании.

Как рассказывает производитель, об уязвимости еще 18 декабря 2025 года сообщила команда Android Security из Google, и 2 февраля 2026 года компания проинформировала своих клиентов. Исправления стали доступны в январе 2026 года. При этом в февральском бюллетене Qualcomm CVE-2026-21385 пока не отмечена как эксплуатируемая.

Помимо описанной 0-day, мартовские патчи устранили десять критических уязвимостей в компонентах System, Framework и Kernel. Их эксплуатация позволяла добиться удаленного выполнения кода, повысить привилегии или спровоцировать отказ в обслуживании (DoS).

Обновления вышли в виде двух наборов патчей: 2026-03-01 и 2026-03-05. Второй включает все исправления из первого, а также патчи для проприетарных компонентов сторонних производителей и ядра, которые актуальны не для всех Android-устройств. Устройства Google Pixel получают обновления сразу, тогда как другим производителям обычно требуется дополнительное время на тестирование и адаптацию патчей.