Google reveló el lunes que se explotó una falla de seguridad de alta gravedad que afectaba a un componente de código abierto de Qualcomm utilizado en dispositivos Android.
La vulnerabilidad en cuestión es CVE-2026-21385 (puntuación CVSS: 7,8), que es una sobrelectura del búfer en el componente gráfico.
«Agregar datos especificados por el usuario sin verificar el espacio disponible en el buffer dañará la memoria», dijo Qualcomm en el aviso, describiendo esto como un desbordamiento de enteros.
El fabricante de chips dijo que se le informó de la falla a través del equipo de seguridad de Android de Google el 18 de diciembre de 2025, y que los clientes fueron notificados de la falla de seguridad el 2 de febrero de 2026.
En este momento, se desconocen los detalles sobre cómo se está explotando esta vulnerabilidad en la naturaleza. Sin embargo, Google reconoció en su boletín mensual de seguridad de Android que hay «indicios de que CVE-2026-21385 puede estar siendo objeto de una explotación limitada y específica».
La actualización de Google de marzo de 2026 incluye parches para un total de 129 vulnerabilidades, incluida una falla crítica en un componente del sistema que podría permitir la ejecución remota de código sin privilegios adicionales ni interacción del usuario (CVE-2026-0006). Por el contrario, Google abordó una vulnerabilidad de Android en enero de 2026 y ninguna el mes pasado.
Google también corrigió varios errores que fueron calificados como críticos. Error de escalada de privilegios en el marco (CVE-2026-0047), Denegación de servicio (DoS) del sistema (CVE-2025-48631), Siete fallas de escalada de privilegios en los componentes del kernel (CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 y CVE-2026-0031).
El Boletín de seguridad de Android incluye dos niveles de parche (2026-03-01 y 2026-03-05), lo que brinda a los socios de Android la flexibilidad de abordar rápidamente vulnerabilidades comunes en una variedad de dispositivos.
El segundo nivel de parche incluye correcciones de componentes del kernel, así como correcciones para Arm, Imagination Technologies, MediaTek, Qualcomm y Unisoc.
Source link
