- Google が 2026 年 3 月の Android アップデートをリリース、129 個の脆弱性を修正
- 235 個の Qualcomm チップセット全体で野生で悪用されている 10 個のクリティカルバグと CVE-2026-21385(7.8/10)を含む
- 2 つのパッチレベル(2026-03-01、2026-03-05)が発行されました。Pixel デバイスが最初にパッチされ、OEM ロールアウトは後で予定されています
Google は、Android エコシステムで 129 個の脆弱性を修正した新しいセキュリティアップデートをリリースしました。これには 10 個の重大度の高いバグと、明らかに野生で悪用されている 1 つの高度な深刻度の問題が含まれます。
セキュリティアドバイザリで、Google は Graphics コンポーネント(オープンソースの Qualcomm モジュール)のバッファオーバーリード脆弱性を修正したと述べました。CVE-2026-21385 として追跡されているこのバグには、7.8/10 の深刻度スコアが付与されました。
「利用可能なバッファスペースをチェックしないでユーザーが提供したデータを追加した際のメモリ破損」と Qualcomm は別のアドバイザリで述べました。
2 つのパッチセット
このバグは Google 曰く、実際の攻撃で使用されていました:「CVE-2026-21385 が限定的で標的を絞った悪用の可能性があるという兆候があります」と述べました。その他の詳細は共有されませんでした。Qualcomm は、バグが 12 月 18 日に最初に発見され、顧客には 2 月 2 日に通知されたと述べました。235 個のチップセットに影響します。
Google はまた、System、Framework、および Kernel コンポーネント全体で 10 個の脆弱性に対処しました。これらはすべてクリティカルとしてラベル付けされており、リモートコード実行攻撃、権限昇格攻撃、および DoS 攻撃で理論的に使用される可能性があります。
「これらの問題の中で最も重大なのは、System コンポーネントのクリティカルセキュリティ脆弱性であり、追加の実行権限を必要とせずにリモートコード実行につながる可能性があります。悪用には ユーザーインタラクションは必要ありません」と Google は強調しました。
欠陥を修正するために、同社は 2026-03-01 と 2026-03-05 の 2 つの別個のパッチをリリースしました。2 番目のパッチには、すべての 129 個のバグの修正と、クローズドソースのサードパーティおよびカーネルサブコンポーネントの修正が含まれています。
Android エコシステムの断片化を考えると、ほとんどのデバイスがパッチされるまでに時間がかかる可能性があります。Samsung、OnePlus、Xiaomi などのメーカーは、これらのパッチを取得し、それを製品とパッチ周期に組み込む必要があります。Pixel デバイスはそれらが直接 Google の製品であるため、最初にこれらのパッチを受け取ると予想されます。
もちろん、TikTok で TechRadar をフォローして、ニュース、レビュー、ビデオ形式でのアンボックスを入手したり、WhatsAppでも定期的なアップデートを取得できます。
