Googleは月曜日、AndroidデバイスのオープンソースQualcommディスプレイコンポーネントに影響する高深刻度の欠陥が「限定的でターゲット化された悪用下にあるかもしれない」と警告し、積極的に悪用されている1つのゼロデイ脆弱性を公開しました。
メモリ破損脆弱性—CVE-2026-21385—は、GoogleのAndroidセキュリティチームが12月18日にQualcommに報告したもので、234個のチップセットに影響すると、Qualcommはセキュリティ情報で述べています。Qualcommは2月2日に顧客にこの脆弱性を通知したと述べています。
Qualcommは、最初の既知の悪用事例がいつ発生したか、何人の被害者が直接影響を受けたか、および報告から脆弱性の公開までの10週間の期間に何が起きたかについて述べることを拒否しました。
「Googleの脅威分析グループの研究者が調整されたディスクロージャー慣行を使用していることを称賛します」とQualcommのスポークスパーソンはCyberScoopに語りました。「修正は2026年1月に顧客に提供されました。エンドユーザーがデバイスメーカーから利用可能になったときにセキュリティ更新プログラムを適用することをお勧めします。」
Googleのスポークスパーソンは、Qualcommが脆弱性を悪用されたものとしてマークしたと述べました。「エクスプロイトレポートに関する情報やアクセス権がありません」とスポークスパーソンは付け加えました。
Googleは、Androidデバイスの月次セキュリティ更新で129個の欠陥に対応しており、ベンダーからの脆弱性開示の急増を反映しています。同社の最新のセキュリティ更新には、2018年4月以来、1か月間にパッチが当たった最高数のAndroid脆弱性が含まれています。
Androidに対するGoogleの公開脆弱性開示およびレポートプログラムは不均一でした。同社は通常、毎月数十のセキュリティパッチを発行していましたが、そのケイデンスはより散発的なルーチンにシフトしました。
今年のところ、Googleは1月に1つのAndroid脆弱性に対応し、2月にはなかったです。昨年も時々の落ち込みがあり、Googleが7月と10月に脆弱性を報告しなかった場合、8月に6個、11月に2個の脆弱性がありました。しかし、2025年の開示は9月に120個の欠陥でピークに達し、12月に107個の脆弱性(2つのゼロデイを含む)で再び反発しました。
Googleは以前、毎月開示する脆弱性の量の低下に関する質問に応答し、最大の危険をもたらす欠陥に焦点を当て続けていることに注意しました。
「Androidは、メモリセーフな言語Rustの使用と高度な搾取防止保護など、広範なプラットフォーム強化により、ソースでほとんどの脆弱性の悪用を停止します」とGoogleのスポークスパーソンは12月に述べました。「AndroidとPixelは既知のセキュリティ脆弱性に継続的に対応し、最初に最もリスクの高いものの修正とパッチを優先します。」
3月のAndroidセキュリティ情報には、2つのパッチレベル—2026-03-01および2026-03-05—が含まれており、Androidパートナーが異なるデバイスの一般的な脆弱性に対処できるようにしています。Androidデバイスメーカーは、特定のハードウェアのためにオペレーティングシステムの更新をカスタマイズした後、独自のスケジュールでセキュリティパッチをリリースします。
主要なセキュリティ更新には63個の脆弱性が含まれており、フレームワークで32個、システムで19個、Google Playに影響する12個が含まれています。これらの脆弱性のほぼ半分には2025年のCVE識別子があります。
2番目のパッチは66個の脆弱性に対応しており、カーネルに影響する15個の脆弱性、1つのArmコンポーネント欠陥、7つのImaginationTechnologiesの欠陥、およびUnisocコンポーネントの7個の脆弱性が含まれています。
2番目のパッチレベルには、クローズドソースのQualcommコンポーネントの8個の脆弱性と、CVE-2026-21385を含むオープンソースQualcommコンポーネントの7個の高深刻度の欠陥の修正が含まれています。
Googleは、今月のAndroidセキュリティ情報で対処されたすべての脆弱性のソースコードが水曜日までにAndroid Open Source Projectリポジトリにリリースされると述べました。
翻訳元: https://cyberscoop.com/android-security-update-march-2026/
