Google vient de publier le bulletin de sécurité Android de mars 2026, une mise à jour majeure qui corrige un nombre important de vulnérabilités dans le système. Au total, 129 failles ont été identifiées et corrigées dans différentes couches d’Android.
Même si Xiaomi n’a pas encore lancé le déploiement OTA pour ses appareils sous HyperOS, les documents techniques publiés permettent déjà de connaître les correctifs qui seront intégrés dans les prochaines mises à jour du firmware.
Ce cycle de sécurité vise à renforcer la protection du système Android, mais aussi celle des composants matériels fournis par Qualcomm, MediaTek et Unisoc.
129 vulnérabilités corrigées dans plusieurs couches du système Android
La mise à jour de sécurité de mars 2026 corrige 129 vulnérabilités réparties dans différentes parties du système Android. Toutes ne présentent pas le même niveau de gravité, mais certaines sont classées comme critiques.
Les correctifs concernent notamment le Framework, le système Android, le noyau Linux ainsi que plusieurs composants fournis par des fabricants de puces.
Parmi les vulnérabilités les plus graves identifiées dans ce cycle de correctifs :
- Framework : élévation locale de privilèges avec la faille CVE-2026-0047
- System : exécution de code à distance via CVE-2026-0006
- Kernel : élévation de privilèges avec CVE-2024-43859 et CVE-2026-0037
- Qualcomm : vulnérabilité graphique liée à un buffer over-read avec CVE-2026-21385
Ces correctifs visent à empêcher l’exploitation de failles permettant l’accès non autorisé aux données ou au système.
Une faille critique permettait l’exécution de code à distance
Le niveau de correctif 2026-03-01 cible principalement les partitions Framework et System d’Android.
La vulnérabilité la plus préoccupante concerne CVE-2026-0006, détectée dans le composant System. Cette faille permettait une exécution de code à distance sans interaction de l’utilisateur ni privilèges supplémentaires, ce qui représente l’un des scénarios les plus dangereux pour la sécurité d’un smartphone.
Une autre vulnérabilité majeure, CVE-2026-0047, touche le Framework Android. Elle permet à un attaquant présent sur l’appareil d’obtenir des privilèges système élevés.
Le correctif corrige également CVE-2025-48631, une faille critique de la couche System capable de provoquer un déni de service à distance. Dans certains cas, cela pouvait entraîner une instabilité du système ou des boucles de redémarrage.
Le noyau Linux et la virtualisation reçoivent aussi des correctifs critiques
Le niveau de correctif 2026-03-05 introduit plusieurs mises à jour importantes pour le noyau Linux et les technologies de virtualisation, des éléments essentiels pour la sécurité des smartphones récents.
Parmi les corrections notables :
La faille CVE-2024-43859 affectait le Flash-Friendly File System (F2FS). Cette vulnérabilité permettait une élévation de privilèges et concernait particulièrement les appareils utilisant un stockage UFS haute vitesse.
Le module pKVM (Protected Kernel-Based Virtual Machine) et l’hyperviseur ont également reçu plusieurs correctifs critiques, notamment CVE-2026-0037 et CVE-2026-0038. Ces failles pouvaient permettre un accès non autorisé à des environnements d’exécution isolés.
Enfin, plusieurs vulnérabilités importantes ont été corrigées dans l’implémentation TLS (Transport Layer Security) du noyau, notamment CVE-2025-38616 et CVE-2025-39946, afin de renforcer la sécurité des données en transit au niveau du système d’exploitation.
Qualcomm, MediaTek et Unisoc déploient également leurs correctifs
La mise à jour de sécurité concerne aussi les composants fournis par les fabricants de puces utilisés dans de nombreux smartphones Xiaomi.
Chez Qualcomm, l’une des failles les plus importantes est CVE-2026-21385. Elle touche les pilotes graphiques et d’affichage, ce qui peut affecter le rendu visuel et nécessite un correctif rapide.
Les plateformes MediaTek reçoivent 20 correctifs de sécurité, principalement liés aux composants modem et display, afin de corriger des problèmes de stabilité du signal et des vulnérabilités dans les pilotes d’affichage.
Les processeurs Unisoc, souvent utilisés dans les smartphones Redmi d’entrée de gamme, corrigent 7 vulnérabilités importantes qui concernent principalement le modem.
Le déploiement de la mise à jour HyperOS attendu à la mi-mars
Pour le moment, Xiaomi se trouve encore dans une phase d’intégration et de tests internes des correctifs de sécurité de mars 2026.
La mise à jour n’a pas encore été publiée dans les versions stables publiques d’HyperOS, mais le déploiement devrait débuter à la mi-mars.
Selon les informations disponibles, les premiers appareils concernés devraient être les Xiaomi 16 et Xiaomi 15 sur le marché chinois. Les versions Global et EEA devraient ensuite recevoir la mise à jour dans les semaines suivantes.
Les utilisateurs pourront vérifier la présence du correctif dans la section Mise à jour système, avec un niveau de patch affichant 2026-03-01 ou 2026-03-05. Cette mise à jour corrige certaines des vulnérabilités les plus sensibles identifiées récemment dans l’écosystème Android.
Je m’appelle Samuel Le Goff. À 38 ans, je suis l’actualité du numérique depuis plus de 14 ans. Aujourd’hui, je m’intéresse particulièrement aux smartphones et aux usages concrets de l’intelligence artificielle, que je traite à travers des contenus clairs et accessibles sur Menow.fr.
