谷歌于周一披露,影响Android设备中使用的开源高通组件的高严重性安全漏洞已在野外被恶意利用。
该漏洞为CVE-2026-21385(CVSS评分:7.8),是Graphics组件中的缓冲区越界读取问题。
高通在公告中描述该漏洞为"在添加用户提供的数据时未检查可用缓冲区空间导致的内存损坏",将其定义为整数溢出问题。
这家芯片制造商表示,该漏洞是谷歌Android安全团队于2025年12月18日向其报告的。客户于2026年2月2日收到了安全缺陷通知。
目前尚无该漏洞在野外被利用方式的详细信息。不过,谷歌在其月度Android安全公告中承认"有迹象表明CVE-2026-21385可能正在遭受有限的定向攻击"。
谷歌2026年3月更新总共包含129个漏洞的补丁,其中包括系统组件中的一个关键漏洞(CVE-2026-0006),该漏洞可能导致远程代码执行,且无需任何额外权限或用户交互。相比之下,谷歌在2026年1月修复了一个Android漏洞,上月则没有修复任何漏洞。
谷歌还修补了多个关键级别的漏洞:Framework中的权限提升漏洞(CVE-2026-0047)、System中的拒绝服务攻击漏洞(CVE-2025-48631),以及Kernel组件中的七个权限提升漏洞(CVE-2024-43859、CVE-2026-0037、CVE-2026-0038、CVE-2026-0027、CVE-2026-0028、CVE-2026-0030和CVE-2026-0031)。
Android安全公告包含两个补丁级别——2026-03-01和2026-03-05——为Android合作伙伴提供灵活性,以便在不同设备上更快地解决常见漏洞。
第二个补丁级别包括对Kernel组件的修复,以及来自Arm、Imagination Technologies、联发科、高通和紫光展锐的修复。
Q&A
Q1:CVE-2026-21385漏洞是什么?影响哪些设备?
A:CVE-2026-21385是一个影响Android设备中高通Graphics组件的高严重性安全漏洞,CVSS评分为7.8分。它是一个缓冲区越界读取问题,由于在添加用户提供的数据时未检查可用缓冲区空间导致内存损坏。该漏洞影响使用高通组件的Android设备。
Q2:这个漏洞目前被如何利用?
A:谷歌确认该漏洞已在野外被恶意利用,但目前尚未公开具体的利用方式。谷歌在安全公告中表示"有迹象表明CVE-2026-21385可能正在遭受有限的定向攻击",说明攻击范围相对有限且具有针对性。
Q3:谷歌2026年3月更新修复了多少个漏洞?
A:谷歌2026年3月安全更新总共修复了129个漏洞,包括一个可能导致远程代码执行的关键系统组件漏洞、多个权限提升漏洞和拒绝服务攻击漏洞等。更新提供了两个补丁级别,以便Android合作伙伴能够更灵活地在不同设备上部署安全修复。
好文章,需要你的鼓励
市场研究公司Klue本月初遭黑客入侵,大量客户数据被窃。Klue表示正与黑客组织Icarus沟通,并相信对方正在删除所盗数据。受影响客户包括Gong、LastPass、HackerOne等多家知名企业。然而事态趋于复杂——另一黑客团伙声称从Icarus处获取了Klue客户数据,并向客户发出勒索威胁。Klue提醒客户勿向第二方支付赎金,并建议索取数据样本以核实其真实性。
KAIST等机构提出3D HAMSTER,通过为视觉语言模型加入深度编码器和几何重建损失,让机器人规划器直接输出三维轨迹,解决了分层机器人系统中规划与执行的维度不匹配问题,显著提升了操作鲁棒性。
苹果公司对OpenAI提起诉讼,指控其窃取商业机密。据披露,前苹果系统电气工程师刘畅(Chang Liu)在离职加入OpenAI后,利用一个此前未知的身份验证零日漏洞,持续数周从苹果内部网络存储中下载大量机密文件,内容涵盖未发布产品信息、工程演示文稿及技术规格等。苹果已修复该漏洞并终止相关访问权限。此案已提交加州北区联邦法院,并要求陪审团审判。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。