Компания Google выпустила обновление безопасности для Android, устранив 129 уязвимостей, среди которых критическая уязвимость нулевого дня в компоненте дисплея Qualcomm (CVE-2026–21385). Она позволяет локальным атакам повреждать память и есть признаки ее ограниченной активной эксплуатации. Qualcomm уточнила, что проблема связана с переполнением целого числа в подкомпоненте Graphics и затрагивает 235 чипсета.
В мартовских обновлениях Android Google устранила 10 критических уязвимостей в System, Framework и Kernel, которые могли бы разрешить удаленное выполнение кода, повышение привилегий или вызвать отказ в обслуживании. Самая серьезная уязвимость в компоненте System, позволяющая удаленное выполнение кода без дополнительных прав и без участия пользователя.
Обновления вышли в двух пакетах: 2026–03–01 и 2026–03–05. Второй пакет включает все исправления первого, а также патчи для закрытых посторонних компонентов и подкомпонентов ядра, которые могут быть несовместимы со всеми устройствами. Устройства Google Pixel получают обновления сразу, другие производители требуют времени на тестирование и адаптацию поправок под свои конфигурации.
Ранее, в декабре, Google уже исправляла две критические уязвимости нулевого дня (CVE-2025–48633 и CVE-2025–48572), которые также подвергались ограниченной целенаправленной эксплуатации. Представители Google и Qualcomm не комментируют детали атак, связанных с CVE-2026–21385.