Google reveló el lunes que una defecto de seguridad de reincorporación gravitación que afecta a un componente de código despejado de Qualcomm utilizado en dispositivos Android ha sido explotada en estado salvaje.
La vulnerabilidad en cuestión es CVE-2026-21385 (Puntuación CVSS: 7,8), una leída excesiva del búfer en el componente Gráficos.
“Corrupción de la memoria al unir datos proporcionados por el afortunado sin confirmar el espacio acondicionado en el buffer”, dijo Qualcomm en un aviso, describiéndolo como un desbordamiento de enteros.
El fabricante de chips dijo que se le informó sobre la defecto a través del equipo de seguridad de Android de Google el 18 de diciembre de 2025. Los clientes fueron notificados sobre el defecto de seguridad el 2 de febrero de 2026.
Actualmente no hay detalles sobre cómo se está explotando la vulnerabilidad en la naturaleza. Sin confiscación, Google reconoció en su boletín mensual de seguridad de Android que “hay indicios de que CVE-2026-21385 puede estar bajo explotación limitada y dirigida”.
La modernización de Google de marzo de 2026 contiene parches para un total de 129 vulnerabilidades, incluida una defecto crítica en el componente del sistema (CVE-2026-0006) que podría conducir a la ejecución remota de código sin requerir privilegios adicionales ni interacción del afortunado. Por el contrario, Google abordó una vulnerabilidad de Android en enero de 2026 y ninguna el mes pasado.
Google asimismo ha solucionado varios errores clasificados como críticos: un error de ascenso de privilegios en Framework (CVE-2026-0047), una denegación de servicio (DoS) en el sistema (CVE-2025-48631) y siete fallas de ascenso de privilegios en los componentes del Kernel (CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 y CVE-2026-0031).
El boletín de seguridad de Android incluye dos niveles de parche (2026-03-01 y 2026-03-05) para felicitar a los socios de Android la flexibilidad de enfrentarse vulnerabilidades comunes en diferentes dispositivos más rápidamente.
El segundo nivel de parche incluye correcciones para los componentes del Kernel, así como los de Arm, Imagination Technologies, MediaTek, Qualcomm y Unisoc.
