Qualcomm零日漏洞影响234款芯片组 谷歌确认正被利用

2026年3月，谷歌发布2026年3月Android安全公告，修复了129个漏洞，其中包括一个Qualcomm显示和图形组件中的严重整数溢出漏洞(CVE-2026-21385)，该漏洞已被确认正在野外被积极利用。

漏洞影响范围

该零日漏洞影响范围极其广泛：

• 影响234款不同的Qualcomm芯片组
• 涵盖高端到中低端全系列处理器
• 影响全球数亿台Android设备
• 包括三星、小米、OPPO、vivo等主流品牌

漏洞详情

CVE-2026-21385是Qualcomm显示和图形组件中的整数溢出漏洞：

• CVSS评分：8.4（高危）
• 攻击向量：本地
• 攻击复杂度：低
• 权限要求：低
• 影响：可能导致权限提升和任意代码执行

企业移动设备风险

企业移动设备管理(MDM)历史上一直专注于软件策略执行、应用控制和条件访问，但未能跟上固件层漏洞管理的步伐。芯片级漏洞完全绕过大多数端点控制。

安全专家警告：对于允许BYOD或没有强制执行积极补丁SLA的组织来说，这是一个未被管理的暴露点，存在于每位高管的口袋中。

移动设备成为攻击路径

随着云和服务器基础设施的加固成熟，攻击者正在转向管理不足的设备类别。移动设备不再是次要风险层级，而是越来越成为针对性入侵的最小阻力路径。

来源：BleepingComputer、Google Android Security Bulletin