Google hôm thứ Hai đã tiết lộ rằng một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến một thành phần Qualcomm mã nguồn mở được sử dụng trong các thiết bị Android đã bị khai thác trong thực tế (exploited in the wild).
Lỗ hổng được đề cập là CVE-2026-21385 (điểm CVSS: 7.8), một buffer over-read trong thành phần Graphics.
"Lỗi hỏng bộ nhớ khi thêm dữ liệu do người dùng cung cấp mà không kiểm tra không gian bộ đệm khả dụng," Qualcomm cho biết trong một bản tin cố vấn, mô tả đây là một integer overflow.
Nhà sản xuất chip này cho biết lỗ hổng đã được nhóm Android Security của Google báo cáo vào ngày 18 tháng 12 năm 2025. Khách hàng đã được thông báo về lỗi bảo mật này vào ngày 2 tháng 2 năm 2026.
Hiện tại không có thông tin chi tiết về cách lỗ hổng đang bị khai thác trong thực tế. Tuy nhiên, Google đã xác nhận trong bản tin bảo mật Android hàng tháng rằng "có dấu hiệu cho thấy CVE-2026-21385 có thể đang bị khai thác hạn chế, có mục tiêu."
Bản cập nhật tháng 3 năm 2026 của Google chứa các bản vá cho tổng cộng 129 lỗ hổng, bao gồm một lỗ hổng nghiêm trọng trong thành phần System (CVE-2026-0006) có thể dẫn đến remote code execution mà không yêu cầu bất kỳ đặc quyền bổ sung hoặc tương tác nào từ người dùng. Ngược lại, Google đã giải quyết một lỗ hổng Android vào tháng 1 năm 2026 và không có lỗ hổng nào vào tháng trước.
Google cũng đã vá nhiều lỗi được xếp hạng nghiêm trọng khác: một lỗi privilege escalation trong Framework (CVE-2026-0047), một lỗ hổng denial-of-service (DoS) trong System (CVE-2025-48631), và bảy lỗ hổng privilege escalation trong các thành phần Kernel (CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 và CVE-2026-0031).
Bản tin bảo mật Android bao gồm hai cấp độ vá – 2026-03-01 và 2026-03-05 – để cung cấp cho các đối tác Android sự linh hoạt nhằm giải quyết các lỗ hổng phổ biến trên các thiết bị khác nhau một cách nhanh chóng hơn.
Cấp độ vá thứ hai bao gồm các bản sửa lỗi cho các thành phần Kernel, cũng như từ Arm, Imagination Technologies, MediaTek, Qualcomm và Unisoc.
