Die ausgenutzte Schwachstelle CVE-2026-21385 steckt in der Grafikkomponente von mehr als 200 Qualcomm-Chipsätzen. Es handelt sich um einen Integer-Überlauf, der bei der Speicherzuweisung zu einer Speicherbeschädigung führt. Mit einem CVSS-Wert von 7,8 gilt der Fehler als hochgradig kritisch.

Nach Angaben von Qualcomm wurde die Lücke über das Google-Android-Security-Team gemeldet. Der Chiphersteller informierte seine Kunden anschließend über CVE-2026-21385 und legte den Sicherheitsmangel zu Wochenbeginn offen. Google erklärt im Sicherheitsbulletin, es gebe Anzeichen für eine möglicherweise begrenzte und gezielte Ausnutzung. Genauere Angaben zu den Angriffen macht das Unternehmen nicht, verweist aber darauf, dass derartige Schwachstellen oft von kommerziellen Spyware-Anbietern genutzt werden.

Der Patch für die Qualcomm-Lücke ist Teil des zweiten Abschnitts der diesmonatigen Android-Updates, der die Geräte als Sicherheitspatch-Ebene 2026-03-05 erreicht. Dieser Stand behebt über 60 Schwachstellen in Komponenten von Kernel, Arm, Imagination Technologies, MediaTek, Unisoc und Qualcomm.

Der erste Abschnitt der Updates, ausgeliefert als Patch-Ebene 2026-03-01, schließt mehr als 50 Schwachstellen in den Framework- und System-Komponenten, darunter kritische Fehler, die zu Remote Code Execution (RCE) und Denial-of-Service (DoS) führen. Als gravierendste Lücke nennt Google eine kritische Schwachstelle in der System-Komponente, die ohne zusätzliche Ausführungsrechte und ohne Nutzerinteraktion zu einer entfernten Codeausführung führen könnte. Geräte mit Sicherheitsstand 2026-03-05 oder höher enthalten die Korrekturen für sämtliche dieser Schwachstellen.

Zeitgleich kündigte Google Korrekturen für zwei Wear-OS-Schwachstellen an, die die Framework- und System-Komponenten der Plattform betreffen. Das neue Wear-OS-Update enthält zudem Patches für alle im Android-Bulletin für März 2026 beschriebenen Mängel. Für Android Automotive OS und Android XR gibt es in diesem Monat laut Google keine plattformspezifischen Korrekturen.