A Google lançou o seu pacote de correções de segurança para o sistema operativo Android, resolvendo um total de 129 vulnerabilidades. O grande destaque deste lançamento vai para a correção de uma falha zero-day identificada num componente do ecrã da Qualcomm, que a empresa confirmou já estar a ser explorada de forma limitada e direcionada em ataques reais.
Identificada como CVE-2026-21385 no Boletim de Segurança do Android de março de 2025, esta vulnerabilidade permite que atacantes locais explorem um erro de capacidade de inteiros (integer overflow) no subcomponente gráfico para provocar a corrupção de memória. O problema atinge um total de 235 chips da fabricante, que recebeu o alerta a 18 de dezembro e notificou os seus parceiros comerciais a 2 de fevereiro.
Correções críticas no sistema e núcleo
Para além da falha exposta, as novas atualizações tratam de 10 vulnerabilidades classificadas como críticas nas estruturas de Sistema, Framework e componentes do Kernel. Estas ameaças permitem a agentes maliciosos executar código remotamente, escalar privilégios ou desencadear condições de negação de serviço.
De acordo com a empresa tecnológica, a falha mais severa de todo este grupo encontra-se diretamente no componente do Sistema. Trata-se de uma vulnerabilidade que pode resultar na execução remota de código sem ser necessário possuir privilégios adicionais e sem que seja exigida qualquer interação por parte do utilizador do dispositivo afetado.
Lançamento faseado por níveis de segurança
Para organizar a distribuição, a Google dividiu os pacotes de correção em dois níveis distintos: 2026-03-01 e 2026-03-05. A primeira data foca-se nas vulnerabilidades transversais à plataforma móvel, enquanto o segundo nível abrange todas as resoluções da primeira fase e acrescenta correções exclusivas para componentes de código fechado de terceiros, que podem não ser aplicáveis a todos os telemóveis do mercado.
Como é prática comum, os equipamentos da linha Pixel têm acesso imediato a estas novidades. Para os restantes utilizadores, o tempo de espera dependerá da rapidez com que as várias fabricantes testam e integram o software nas configurações específicas do seu hardware, tudo isto conforme documentado no boletim de segurança oficial. Relembre-se que, já no mês de dezembro, a tecnológica tinha libertado atualizações de segurança dedicadas a outras duas falhas zero-day de elevada gravidade (CVE-2025-48633 e CVE-2025-48572), que também apresentavam indícios de exploração direcionada ativa.
Nenhum comentário
Seja o primeiro!