Google hat eine kritische Sicherheitslücke (CVE-2026-21385) in einer Qualcomm-Komponente für Android bestätigt, die bereits aktiv von Angreifern ausgenutzt wird. Das Unternehmen veröffentlichte im März 2026 Patches für insgesamt 129 Schwachstellen.
Google hat am Montag eine hochgradig kritische Sicherheitslücke in einer Open-Source-Komponente von Qualcomm öffentlich gemacht, die in Android-Geräten zum Einsatz kommt und bereits von Angreifern ausgenutzt wird.
Bei der betroffenen Schwachstelle handelt es sich um CVE-2026-21385 (CVSS-Score: 7.8), einen Puffer-Over-Read in der Graphics-Komponente. Qualcomm beschreibt das Problem als einen Integer-Overflow, der durch eine Speicherbeschädigung verursacht wird: “Memory Corruption beim Hinzufügen von benutzerdefinierten Daten ohne Überprüfung des verfügbaren Pufferspeichers.”
Qualcomm wurde auf die Schwachstelle am 18. Dezember 2025 durch Googles Android-Sicherheitsteam aufmerksam gemacht. Die offizielle Benachrichtigung an Kunden erfolgte erst am 2. Februar 2026. Bislang gibt es keine detaillierten Informationen darüber, wie die Lücke konkret im Feld ausgenutzt wird. Google vermerkt in seinem monatlichen Android-Sicherheitsbericht jedoch: “Es gibt Hinweise darauf, dass CVE-2026-21385 möglicherweise in begrenzte, gezielte Exploits involviert ist.”
Das März-Update 2026 von Google beseitigt insgesamt 129 Sicherheitslücken. Darunter befindet sich auch CVE-2026-0006, eine kritische Schwachstelle in der System-Komponente, die zu Remote Code Execution führen kann – ohne dass zusätzliche Berechtigungen oder Benutzerinteraktion erforderlich sind. Im Vergleich dazu veröffentlichte Google im Januar 2026 nur eine Sicherheitskorrektur und im Februar keine.
Zu den weiteren kritischen Patches gehören: ein Privilege-Escalation-Bug im Framework (CVE-2026-0047), ein Denial-of-Service-Bug im System (CVE-2025-48631) sowie sieben Privilege-Escalation-Lücken in Kernel-Komponenten (CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 und CVE-2026-0031).
Google veröffentlichte das Sicherheits-Bulletin in zwei Patch-Leveln (2026-03-01 und 2026-03-05), um Android-Partnern mehr Flexibilität beim gezielten Einspielen von Fixes auf verschiedenen Geräten zu geben. Der zweite Patch-Level beinhaltet Korrektionen für Kernel-Komponenten sowie Patches von Arm, Imagination Technologies, MediaTek, Qualcomm und Unisoc.
Quelle: The Hacker News