Die bestätigte Schwachstelle CVE-2026-21385 betrifft eine quelloffene Qualcomm-Komponente und erreicht einen CVSS-Wert von 7,8. Qualcomm beschreibt den Fehler als Buffer-Over-Read in der Graphics-Komponente: Speicher wird beschädigt, wenn vom Nutzer gelieferte Daten ohne Prüfung des verfügbaren Pufferplatzes hinzugefügt werden. Der Chiphersteller ordnet das Problem als Integer-Überlauf ein.

Nach Angaben von Qualcomm ging die Meldung über das Android-Security-Team von Google am 18. Dezember 2025 ein. Die Kunden wurden am 2. Februar 2026 über den Sicherheitsmangel unterrichtet. Wie die Lücke tatsächlich ausgenutzt wird, ist bislang nicht bekannt. Google hält in seinem monatlichen Android-Sicherheitsbulletin lediglich fest, dass Hinweise auf eine möglicherweise begrenzte, gezielte Ausnutzung von CVE-2026-21385 vorliegen.

Das März-Update 2026 von Google enthält Patches für insgesamt 129 Schwachstellen. Darunter befindet sich eine kritische Lücke in der System-Komponente (CVE-2026-0006), die eine Remote-Code-Ausführung ermöglichen kann, ohne dass zusätzliche Berechtigungen oder eine Interaktion des Nutzers erforderlich sind. Zum Vergleich: Im Januar 2026 hatte Google nur eine Android-Schwachstelle behoben, im Vormonat keine.

Weitere kritisch bewertete Fehler wurden ebenfalls geschlossen: eine Rechteausweitung im Framework (CVE-2026-0047), eine Denial-of-Service-Lücke im System (CVE-2025-48631) sowie sieben Schwachstellen zur Rechteausweitung in Kernel-Komponenten (CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 und CVE-2026-0031).

Das Bulletin umfasst zwei Patch-Stände – 2026-03-01 und 2026-03-05 –, die Android-Partnern mehr Spielraum geben sollen, verbreitete Schwachstellen auf unterschiedlichen Geräten schneller zu beheben. Der zweite Patch-Stand enthält Korrekturen für Kernel-Komponenten sowie für Bauteile von Arm, Imagination Technologies, MediaTek, Qualcomm und Unisoc.