根據谷歌報告,許多Android移動設備使用的高通晶片組存在零日漏洞,正在野外遭到活躍利用,系統用戶應儘快應用相關更新。
該漏洞被追蹤為CVE-2026-21385,是一個由整數溢出或圖形環繞條件引起的記憶體損壞漏洞。如果不加以解決,威脅行為者可以繞過安全控制並接管目標系統。
高通表示,該漏洞影響了超過200個廣泛使用的晶片組。漏洞於2025年12月首次被谷歌Android安全團隊報告,高通於2026年2月2日通知了客戶,修復程序早在1月就開始推出。
在3月安全公告中,谷歌還解決了Android及其相關組件中的100多個其他漏洞。谷歌表示"有跡象表明CVE-2026-21385可能正在遭受有限的定向利用"。
谷歌的措辭表明CVE-2026-21385可能被國家級監控行動使用,因為歷史上許多最終危及智慧型手機設備的零日漏洞都是如此。
然而,谷歌尚未就此作出明確聲明,也沒有提供有關攻擊細節或受害者的資訊。
在公告中,谷歌還特別標記了CVE-2026-0047(關鍵權限提升漏洞)和CVE-2026-0006(遠程代碼執行漏洞),認為防禦者應密切關注。
Android和iOS安全專家Jamf的高級企業戰略經理Adam Boynton表示,高通零日漏洞將特別令安全團隊擔憂,因為雖然谷歌已修補了該漏洞,但真正控制補丁何時下沉到用戶設備的是原始設備製造商和移動運營商。
"在企業環境中,這個間隙可能從幾天延伸到幾個月——在此期間,漏洞是公開的,設備處於暴露狀態,"他解釋道。
"移動設備不再是次要攻擊面,那些仍將其視為次要並延遲更新的組織,將成為事件報告中的受害者。"
截至3月3日,CVE-2026-21385現已被添加到網路安全和基礎設施安全局的已知被利用漏洞目錄中。這要求美國聯邦文職執行部門的所有機構在3月24日前應用Android補丁,並進一步表明該漏洞對更廣泛企業社區的潛在範圍和損害。
蘋果也未倖免
與此同時,3月3日,谷歌內部威脅情報小組發布了一個針對運行iOS 13.0至17.2.01版本的Apple iPhone型號的強大漏洞利用工具包詳情。
所謂的Coruna工具包據說包含了五個綜合iOS漏洞利用鏈,共包含23個漏洞利用——其中最先進的使用了尚未公開的利用技術和緩解措施繞過。
威脅情報小組表示,他們追蹤到一個未命名商業間諜軟體供應商的客戶在使用該工具包,在一系列針對烏克蘭用戶的水坑攻擊中(與俄羅斯情報部門有關),以及在一個由來自中國的經濟動機網路犯罪操作者(追蹤為UNC6353)進行的大規模活動中。
"這種擴散是如何發生的尚不清楚,但表明存在二手零日漏洞的活躍市場,"威脅情報小組在其報告中說。
"除了這些已識別的漏洞利用外,多個威脅行為者現在已經獲得了先進的利用技術,可以重複使用並與新識別的漏洞一起修改。"
威脅情報小組指出,Coruna對運行最新版iOS的設備無效,並鼓勵所有用戶更新設備——如果還無法更新,則啟用鎖定模式。
Q&A
Q1:CVE-2026-21385漏洞是什麼?它有多嚴重?
A:CVE-2026-21385是一個影響高通晶片組的記憶體損壞零日漏洞,由整數溢出或圖形環繞條件引起。該漏洞影響超過200個廣泛使用的晶片組,攻擊者可以利用它繞過安全控制並接管目標系統,目前正在野外遭到活躍利用。
Q2:為什麼Android設備補丁推送會有延遲?
A:雖然谷歌已經修補了漏洞,但真正控制補丁何時到達用戶設備的是原始設備製造商和移動運營商。在企業環境中,這個延遲可能從幾天到幾個月不等,在此期間設備處於暴露狀態。
Q3:Coruna工具包是什麼?如何防護?
A:Coruna是一個針對iOS 13.0至17.2.01版本iPhone的漏洞利用工具包,包含5個綜合iOS漏洞利用鏈和23個漏洞利用。該工具包對運行最新版iOS的設備無效,用戶應儘快更新設備或啟用鎖定模式來防護。
