Google 於昨日(2026 年 3 月 3 日)發布了 2026 年 3 月 Android 安全公告。這次更新修補的漏洞數量高達 129 個,創下近年來單月最高紀錄,其中最令安全專家擔憂的是一個已在現實中被主動利用(Active Exploitation)的高通(Qualcomm)零日漏洞。
1. 重點警戒:CVE-2026-21385 零日漏洞
這是本次更新的「一號威脅」,被標記為高危(High Severity)等級,且已被證實遭到「有限、針對性」的攻擊:
- 漏洞性質:這是一個位於高通圖形與顯示子系統(Graphics/Display component)中的「整數溢位(Integer Overflow)」漏洞。
- 影響範圍:波及超過 235 款高通晶片組(包括多數 Snapdragon 系列)。
- 攻擊代價:黑客可藉此觸發記憶體毀損(Memory Corruption),進而繞過系統安全限制。
- 急迫性:該漏洞已被 CISA(美國網路安全和基礎設施安全局)加入「已知被利用漏洞清單」,強烈建議用戶立即更新。
2. 系統關鍵威脅:無需互動即可遠端執行的 RCE
除了高通的漏洞,Google 本月還修補了 10 個「嚴重(Critical)」等級的漏洞,其中最危險的是 CVE-2026-0006:
- 組件:Android 系統(System)核心。
- 威脅:這是一個遠端程式碼執行(RCE)漏洞。
- 特點:攻擊者不需要任何用戶互動(無需點擊連結或下載檔案),也無需額外權限,即可遠端接管設備。
3. 安全修正級別 (Patch Levels) 說明
為了加速不同硬體商的推送速度,更新分為兩個階段:
- 2026-03-01 修正級別:專注於 Android 框架(Framework)與系統組件,包含約 50 個核心漏洞修補。
- 2026-03-05 修正級別:包含前者的所有內容,並增加對 Qualcomm(含閉源組件)、Arm、Imagination Technologies、MediaTek 與 Unisoc 等第三方硬體驅動程式的 66 個修補。
- 註:必須更新至 03-05 版本,才能完全免疫前述的高通零日漏洞。
4. 哪些裝置會先收到?
- Google Pixel:Pixel 6 至 Pixel 10 全系列已於昨日率先獲得更新。
- Samsung:預計在未來 3 至 7 天內開始向 Galaxy S26、S25 系列及 Z Fold/Flip 系列推送。
- 其他品牌:小米、OPPO、榮耀等廠商通常會在 2 至 4 週內陸續跟進。
⚠️ 專家建議:立即行動
考慮到 CVE-2026-21385 正在被利用,這不是一次「可以等」的例行維護。
操作步驟:
前往 設定 > 安全與隱私 > 系統與更新 > 安全更新,手動點擊「檢查更新」。
Source: Android
