Une vulnérabilité sévère affectant un composant graphique de Qualcomm utilisé dans de nombreux smartphones Android est déjà exploitée de manière ciblée. Elle figure parmi les 129 vulnérabilités corrigées dans la mise à jour de sécurité de mars 2026.
Comme tous les mois, Google a documenté la publication de ses bulletins de sécurité mensuels pour Android. Au programme de cette fournée très dense, pas moins de 129 vulnérabilités ont été patchées, parmi lesquelles une faille plus inquiétante que les autres. Nichée dans un composant open source de Qualcomm, référencée CVE-2026-21385 et notée 7.8 sur l’échelle de score CVSS, elle est déjà activement exploitée de manière ciblée, Mountain View n’ayant pas (encore) détaillé la nature des attaques en cours.
Une erreur de calcul dans la gestion mémoire du GPU
Dans le détail, CVE-2026-21385 affecte la pile graphique Qualcomm utilisée sur Android, c’est-à-dire les composants chargés de dialoguer avec le GPU et de gérer l’affichage au plus près du noyau du système. On touche donc ici au code bas niveau, responsable notamment des allocations et des tailles de blocs mémoire utilisés pour traiter des données graphiques.
La vulnérabilité correspond à un dépassement d’entier dans le composant Graphics, entraînant une corruption mémoire lors de l’utilisation d’alignements pour l’allocation mémoire. À titre d'information, ces alignements servent à ajuster la taille et l’adresse des blocs mémoire afin de respecter certaines contraintes matérielles. Pour déterminer la taille à réserver, le pilote effectue un calcul dont le résultat est stocké dans un entier de taille limitée.
Or, si le calcul utilisé pour déterminer cette taille dépasse la valeur maximale que cet entier peut représenter, le résultat est tronqué. L’alignement repose alors sur une taille erronée et l’espace mémoire réservé ne correspond plus au volume réellement nécessaire. Le traitement graphique peut ensuite accéder à des zones situées en dehors de l’espace effectivement alloué, avec des conséquences pouvant aller de la fuite d’informations à une altération de données, voire, dans certains cas, à l’exécution de code.
Google a d’ailleurs confirmé disposer d’éléments suggérant une exploitation ciblée, sans donner plus de précisions sur les vecteurs d’attaque ni sur les profils visés.
Un correctif déployé en deux niveaux de patch
Signalée à Qualcomm par l’équipe Android Security de Google le 18 décembre 2025, la faille a ensuite été transmise aux constructeurs et aux autres partenaires de l’écosystème Android début février 2026, avant d’être intégrée au bulletin de sécurité Android de mars. Le correctif apparaît dans les niveaux de patch 2026-03-01 et 2026-03-05, Google conservant son système à double palier afin de permettre aux fabricants d’intégrer rapidement les correctifs communs, puis les mises à jour spécifiques liées au noyau et aux composants tiers.
En dehors de CVE-2026-21385, 128 autres vulnérabilités sont corrigées dans cette mise à jour mensuelle. Elles concernent différentes parties du système Android, du framework au noyau, ainsi que des composants fournis par plusieurs fabricants de puces. Certaines sont classées critiques et peuvent, selon leur exploitation, conduire à une élévation de privilèges, à l’exécution de code à distance ou à un déni de service.
Bref, s’il fallait encore l’écrire noir sur blanc, faites vos mises à jour.
