Google закрыла 129 уязвимостей в Android — одну из них в чипсетах Qualcomm уже используют в атаках

Google выпустила мартовское обновление безопасности Android, закрыв 129 уязвимостей, максимальное число в одном бюллетене с апреля 2018 года. Главная из них, CVE-2026-21385 в графическом компоненте Qualcomm, которую уже эксплуатируют в целевых атаках.

Уязвимость связана с повреждением памяти в драйвере дисплея Qualcomm. Qualcomm описывает её как целочисленное переполнение: при добавлении пользовательских данных не проверяется доступное место в буфере. Это позволяет хакерам читать память за пределами разрешённой области и потенциально получить контроль над устройством. Оценка по CVSS 7,8 из 10.

Масштаб проблемы впечатляет: по данным Qualcomm, уязвимость затрагивает 234 модели чипсетов, от бюджетных до флагманских. Это значит, что под угрозой находятся сотни миллионов Android-устройств по всему миру.

Google в бюллетене формулирует осторожно:

Есть признаки того, что CVE-2026-21385 может подвергаться ограниченной целевой эксплуатации.

Подробностей о том, кто стоит за атаками и какие устройства пострадали, пока нет. Уязвимость обнаружила команда Google Android Security и сообщила о ней Qualcomm 18 декабря 2025 года. Qualcomm предупредил производителей устройств только 2 февраля 2026-го, через десять недель. На вопросы CyberScoop о том, что происходило в этот промежуток и сколько пользователей пострадало, Qualcomm отвечать отказалась, ограничившись рекомендацией устанавливать обновления.

Помимо CVE-2026-21385, мартовский бюллетень закрывает ещё несколько критических уязвимостей. CVE-2026-0006 в системном компоненте Android позволяет удалённо выполнить код без каких-либо действий со стороны пользователя и без дополнительных привилегий, одна из самых опасных категорий. CVE-2025-48631, тоже в системном компоненте, приводит к удалённому отказу в обслуживании. Ещё семь уязвимостей повышения привилегий найдены в компонентах ядра Linux.

Бюллетень разделён на два уровня. Первый (2026-03-01) включает 63 уязвимости в базовых компонентах Android. Второй (2026-03-05) добавляет ещё 66, в ядре и чипсетах Qualcomm, Arm, Imagination Technologies, MediaTek и Unisoc.

Контраст с предыдущими месяцами бросается в глаза: в январе Google исправила одну уязвимость в Android, в феврале, ни одной, а в марте, сразу 129.

Обновления доступны для устройств с Android 10 и выше. Часть исправлений приходит через Google Play отдельно от обновлений производителей. Однако реальная скорость доставки зависит от производителей смартфонов, между выходом бюллетеня и появлением обновления на конкретном устройстве могут пройти недели.

Чтобы проверить текущий уровень безопасности устройства, нужно зайти в Настройки → О телефоне → Обновление системы безопасности. Если дата обновления раньше марта 2026 года, устройство остаётся уязвимым.