文章总结： 谷歌发布安卓安全更新修复近130个漏洞，其中CVE-2026-21385是已遭利用的高通0day漏洞，影响200多个高通芯片集图形组件，可导致内存损坏和权限提升。该漏洞可能被商业监控软件利用，建议用户尽快更新至2026-03-05或更高安全补丁级别。 综合评分： 79 文章分类： 漏洞预警,移动安全,漏洞分析

谷歌安卓更新修复已遭利用的高通 0day 漏洞

Ionut Arghire Ionut Arghire

代码卫士

2026年3月4日 18:30 北京

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

本周一，谷歌宣布推出新的安卓安全更新，包含近130个漏洞的补丁，其中一个漏洞已遭利用。

这个已遭利用的漏洞编号是CVE-2026-21385（CVSS评分7.8），影响200多个高通芯片集的图形组件，是整数上溢或回绕问题，当使用内存分配的字节对齐时会导致内存损坏。

据Jamf公司的高级企业战略经理 Adam Boynton称，成功利用该漏洞可能使攻击者“绕过安全控制，获得对系统的未授权控制权限”。高通在安全公告中提到，该漏洞在2025年12月18日通过谷歌安卓安全团队报送，谷歌在2月2日将漏洞告知客户并在周一披露。

谷歌在安全公告中提到，“有线索表明CVE-2026-21385可能遭到有限的针对性利用。”虽然该公司并未详述相关攻击详情，但此类漏洞经常遭商业监控软件厂商利用。

该漏洞的修复方案已包含在本月安全更新的第二部（2026-03-05安全补丁级别）。该补丁级别修复了位于内核、Arm、Imagination Technologies、联发科、Unisoc 和高通组件中的60多个漏洞。该更新的第一部分（2026-03-01安全补丁级别）包含50多个漏洞，它们位于 Framework 和 System 组件中，其中一些严重漏洞可导致任意代码执行和拒绝服务后果。谷歌提到，“其中最严重的漏洞位于系统组件中，无需其它执行权限即可导致远程代码执行后果。利用该漏洞无需用户交互。”

运行2026-03-05或更高安全级别的设备中包含所有漏洞的补丁。

本周一，谷歌还宣布发布两个 Wear OS 漏洞的修复方案，这些漏洞影响该平台的 Framework 和 System 组件。该更新中还包括安卓2026年3月份安全通告中所说明的所有漏洞的补丁。

谷歌表示，本月安卓Automotive OS 和 Android XR 更新中并不包含针对特定平台的补丁。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

谷歌修复107个安卓漏洞，其中2个已遭利用

谷歌：速修复系统组件中的这个安卓零点击RCE漏洞

谷歌修复安卓遭活跃利用的 FreeType 0day漏洞

谷歌修复已遭利用的安卓0day

安卓间谍软件 NoviSpy 利用高通6个0day感染设备

原文链接

https://www.securityweek.com/android-update-patches-exploited-qualcomm-zero-day/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Ionut Arghire Ionut Arghire《谷歌安卓更新修复已遭利用的高通 0day 漏洞》