谷歌将在48小时内向Android开源项目（AOSP）代码库发布相应的源代码补丁，确保更广泛的生态系统获得长期平台稳定性。

备受期待的2026年3月Android安全公告已由谷歌正式发布，为整个Android生态系统中的129个安全漏洞提供了关键修复。此次大规模更新是近年来单月发布补丁数量最多的一次。

更新部署采用了两个独立的安全补丁级别（2026-03-01和2026-03-05），这使得设备制造商能够先快速修复核心Android平台缺陷，然后再处理复杂的硬件特定问题。

本次公告解决的最严重威胁是一个正遭到有限针对性攻击利用的高危0Day漏洞。

正遭利用的0Day：CVE-2026-21385

3月更新的焦点是开源Qualcomm Display组件中的一个高危0Day漏洞（CVE–2026–21385）。技术分析表明，该问题源于内存分配对齐过程中因整数溢出或回绕错误导致的内存损坏。

谷歌和高通均已确认此漏洞在野外遭到了有限的针对性利用。由于此内存损坏漏洞存在于硬件显示驱动中，攻击者成功利用后可绕过严格安全边界并操控关键内存结构。

使用受影响高通芯片组Android设备的用户面临更高风险，必须优先立即应用此补丁。

除0Day外，2026-03-01补丁级别还修复了多个无需用户交互即可被攻击者利用的关键平台漏洞。其中最危险的是核心System组件中的远程代码执行（RCE）漏洞（CVE-2026-0006），远程攻击者成功利用后无需额外执行权限即可运行恶意代码。

此外，Android Framework组件修复了关键权限提升（EoP）漏洞（CVE-2026-0047）。网络犯罪份子常将此类漏洞与初始RCE攻击串联使用，使恶意应用获得对受控设备的高级管理权限。

供应商特定组件漏洞

次要的2026-03-05补丁级别专门修复了闭源和开源第三方硬件组件中的66个漏洞：

谷歌与主要供应商合作，修复了影响Arm、Imagination Technologies、联发科和紫光展锐硬件的严重漏洞。这些修复涉及设备调制解调器、虚拟机监控器和GPU驱动中深埋的众多权限提升和信息泄露漏洞。

面对高级持续性威胁（APT），这份庞大的硬件级补丁清单凸显了保护复杂移动供应链的持续挑战。用户应通过系统设置验证设备的安全补丁级别——运行2026-03-05补丁级别的设备可完全防御本公告所述129个漏洞及以往安全更新修复的问题。

谷歌将在48小时内向Android开源项目（AOSP）代码库发布相应的源代码补丁，确保更广泛的生态系统获得长期平台稳定性。同时，Google Play Protect将为使用谷歌移动服务的用户继续提供主动防御，持续监控并阻止试图利用这些新披露漏洞的潜在有害应用。