概要

Googleは先週月曜日、Androidデバイスで使用されるQualcommのオープンソースコンポーネントに影響を与える深刻度が高いセキュリティ脆弱性が実世界で悪用されていることを発表しました。

詳細

CVE-2026-21385（CVSSスコア：7.8）は、Graphicsコンポーネントのバッファーオーバーレッドを対象とした脆弱性です。Qualcommはこの問題について、「ユーザーが供給するデータを追加する際に利用可能なバッファースペースを確認せずにメモリコーポレーションが発生する」と説明しています。

影響と対応

• Qualcomm：この脆弱性は、GoogleのAndroidセキュリティチームを通じて2025年12月18日に報告され、顧客には2026年2月2日付でセキュリティ欠陥について通知されました。
• Google：3月のアップデートでは合計129の脆弱性を修正しており、Systemコンポーネントの深刻度が極めて高い（CVE-2026-0006）脆弱性も含まれています。この脆弱性はリモートコード実行につながり得る可能性があります。

その他の修正内容

• Framework：権限昇格の脆弱性（CVE-2026-0047）
• System：サービス拒否（DoS）の脆弱性（CVE-2025-48631）
• Kernelコンポーネント：権限昇格の脆弱性が7つ（CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030, およびCVE-2026-0031）

パッチの適用状況

Googleは、Androidパートナーが異なるデバイスで一般的な脆弱性をより迅速に対処できるようにするため、2つのパッチレベル（2026-03-01と2026-03-05）を提供しています。後者のパッチレベルには、Kernelコンポーネントの修正だけでなく、Arm、Imagination Technologies、MediaTek、Qualcomm、およびUnisocからの修正も含まれています。

結論

Googleは、この脆弱性が限定的なターゲット指向型攻撃で悪用されている可能性があると認めています。ユーザーは速やかにパッチを適用し、セキュリティリスクを軽減することが重要です。

元記事: https://thehackernews.com/2026/03/google-confirms-cve-2026-21385-in.html