Google reveló que una vulnerabilidad de alta severidad que afecta a un componente de código abierto de Qualcomm utilizado en dispositivos Android ha sido explotada activamente en entornos reales.
Análisis
La vulnerabilidad identificada como CVE-2026-21385 (CVSS: 7.8) corresponde a un buffer over-read en el componente de Gráficos. Según Qualcomm, el problema implica corrupción de memoria al agregar datos suministrados por el usuario sin verificar el espacio disponible en el búfer, describiéndolo como un caso de integer overflow.
El fallo fue reportado a Qualcomm por el equipo de seguridad de Android de Google el 18 de diciembre de 2025, y los clientes fueron notificados el 2 de febrero de 2026.
Google indicó en su boletín de seguridad mensual que existen indicios de que CVE-2026-21385 podría estar siendo explotada de forma limitada y dirigida. No se han divulgado detalles técnicos sobre los métodos de explotación observados.
La actualización de seguridad de marzo de 2026 de Android corrige un total de 129 vulnerabilidades, incluyendo una crítica en el componente System (CVE-2026-0006) que podría permitir ejecución remota de código sin interacción del usuario ni privilegios adicionales.
Además, se corrigieron:
- Una vulnerabilidad de escalamiento de privilegios en Framework (CVE-2026-0047).
- Una vulnerabilidad de denegación de servicio (DoS) en System (CVE-2025-48631).
- Siete fallos de escalamiento de privilegios en el Kernel (CVE-2024-43859, CVE-2026-0037, CVE-2026-0038, CVE-2026-0027, CVE-2026-0028, CVE-2026-0030 y CVE-2026-0031).
Vulnerabilidades Identificadas
La vulnerabilidad CVE-2026-21385 se produce cuando el sistema agrega datos proporcionados por el usuario sin validar adecuadamente el tamaño del búfer disponible. Esto genera un desbordamiento entero que puede provocar:
- Lectura fuera de límites de memoria.
- Corrupción de memoria.
- Posible filtración de información sensible.
- Inestabilidad del sistema.
Aunque se clasifica como over-read, este tipo de error puede facilitar etapas posteriores de explotación, dependiendo del contexto de ejecución y los privilegios del proceso afectado.
Recursos afectados
- Dispositivos Android que integren chipsets Qualcomm vulnerables.
- Componentes gráficos que utilicen la versión afectada del módulo open-source.
- Equipos que no hayan aplicado los parches de marzo de 2026 (nivel 2026-03-01 o 2026-03-05).
- Fabricantes OEM que aún no hayan distribuido actualizaciones de seguridad.
Recomendaciones
Para usuarios finales
- Verificar que el dispositivo tenga instalado el parche de seguridad Android de marzo de 2026.
- Aplicar inmediatamente cualquier actualización disponible.
- Evitar instalar aplicaciones de fuentes no confiables.
- Activar Google Play Protect y mantenerlo habilitado.
Para fabricantes
- Implementar los parches incluidos en los niveles 2026-03-01 y 2026-03-05.
- Realizar pruebas de validación posteriores a la actualización.
- Revisar logs y telemetría en busca de comportamientos anómalos relacionados con componentes gráficos.
- Aplicar controles adicionales de validación de memoria en desarrollos propios.
- Mantener monitoreo continuo ante posibles indicadores de compromiso (IoC).
Referencias
- https://thehackernews.com/2026/03/google-confirms-cve-2026-21385-in.html
- https://cyberscoop.com/android-security-update-march-2026/
Por último, te invitamos a compartir este boletín con tus allegados para fomentar y difundir una Cultura de la Ciberseguridad y buenas prácticas en el uso de las nuevas tecnologías.
Si tienes alguna inquietud sobre ciberseguridad o necesidad de formación en esta área, visita nuestras webs. Encontrarás consejos, cursos online, informes y mucho más contenido: https://www.csirtcv.gva.es/ y https://concienciat.gva.es/ y síguenos en nuestras redes sociales: Facebook (CSIRT-CV), X (@CSIRTCV) y ) i YouTube (@csirt-cv6271)