GoogleのAndroid向けパッチ、悪用されているQualcommのゼロデイを修正：CVE-2026-21385

yab

2026.03.04

GoogleがAndroid向け月例パッチを公開　Qualcommのゼロデイが修正される（CVE-2026-21385、CVE-2026-0006他）

BleepingComputer – March 3, 2026

Googleは、Androidの脆弱性129件を修正するセキュリティアップデートをリリースした。これには、攻撃で悪用されているQualcommディスプレイコンポーネントにおけるゼロデイ脆弱性（CVE-2026-21385）の修正も含まれている。

今回のGoogleの月例パッチでは、システム、フレームワーク、カーネルコンポーネントに関連する重大な脆弱性が10件修正された。これらが悪用された場合、リモートコード実行、権限の昇格、サービス拒否状態を引き起こす可能性がある模様。特にCVE-2026-0006はシステムコンポーネントにおける深刻な脆弱性であり、追加の実行権限を必要とせずにリモートコード実行につながる恐れがあるとのこと。

GoogleはCVE-2026-21385を悪用した攻撃の詳細を公開していないものの、Qualcommの2月3日のセキュリティアドバイザリによると、グラフィックスサブコンポーネントの整数オーバーフローまたはラップアラウンドが原因であると述べられている。これが悪用された際にメモリ破損を引き起こす可能性があり、同社のチップセット235件が影響を受ける。GPUに関しては2026年1月に修正プログラムが提供されているため、デバイスメーカーからセキュリティアップデートが提供され次第、適用することが推奨される。

公開されたセキュリティパッチセットは2026-03-01と2026-03-05の2つで、後者には前者のバッチのすべての修正に加え、クローズドソースのサードパーティ製のパッチやカーネルサブコンポーネントのパッチが含まれている。ただし、これらのパッチがすべてのAndroidデバイスに適用されるとは限らないとのこと。また、Google以外のベンダーではそれぞれ独自にパッチのテストと調整を行うため、Google製デバイスと比較して提供までに時間がかかる場合が多い。