Mit seinem aktuellen Android-Sicherheitsbulletin behebt Google 129 Schwachstellen. Im Mittelpunkt steht ein Zero-Day in einer Qualcomm-Display-Komponente: Laut Google deuten Hinweise darauf hin, dass CVE-2026-21385 möglicherweise Gegenstand begrenzter, gezielter Angriffe ist. Nähere Details zu den Attacken oder den betroffenen Zielen nannte das Unternehmen nicht.

Qualcomm machte in einer separaten Sicherheitsmeldung genauere Angaben zur Art der Schwachstelle. Demnach handelt es sich um einen Integer-Überlauf im Grafik-Teilsystem, über den lokale Angreifer eine Speicherbeschädigung auslösen können. Auf die hochgradig kritische Lücke wurde Qualcomm nach eigenen Angaben durch Googles Android-Sicherheitsteam aufmerksam gemacht und benachrichtigte anschließend seine Kunden. In dieser Meldung ist CVE-2026-21385 bislang nicht als in Angriffen ausgenutzt gekennzeichnet. Betroffen sind laut Qualcomm 235 Chipsätze.

Unabhängig vom Qualcomm-Fehler schloss Google in diesem Monat zehn als kritisch eingestufte Schwachstellen in den Komponenten System, Framework und Kernel. Angreifer könnten sie nutzen, um Schadcode aus der Ferne auszuführen, ihre Rechte auszuweiten oder einen Denial-of-Service-Zustand herbeizuführen. Die schwerste dieser Lücken befindet sich nach Angaben von Google in der System-Komponente und erlaubt eine Codeausführung aus der Ferne, ohne zusätzliche Ausführungsrechte und ohne dass eine Interaktion des Nutzers erforderlich ist.

Google stellt die Korrekturen in zwei Patch-Ebenen bereit: 2026-03-01 und 2026-03-05. Die spätere Ebene umfasst sämtliche Korrekturen der ersten und zusätzlich Patches für quelloffene wie auch quellgeschlossene Drittanbieter- und Kernel-Teilkomponenten, die nicht zwangsläufig für alle Android-Geräte gelten. Während Google-Pixel-Geräte die Updates unmittelbar erhalten, benötigen andere Hersteller häufig länger, um die Korrekturen für ihre jeweiligen Hardware-Konfigurationen zu testen und anzupassen.

Gegenüber BleepingComputer waren Sprecher von Google und Qualcomm zu den Angriffen auf CVE-2026-21385 und deren Zielen zunächst nicht für eine Stellungnahme erreichbar. Bereits zuvor hatte Google im Dezember Patches für zwei weitere hochgradig kritische Zero-Day-Schwachstellen veröffentlicht – CVE-2025-48633 und CVE-2025-48572 –, die beide ebenfalls als Ziel begrenzter, gezielter Angriffe markiert waren.