heise PlusAbo
Anzeige
Alert!

Patchday: Kritische Schadcode-Lücke bedroht Android 15 und 16

Wichtige Sicherheitsupdates schließen mehrere Sicherheitslücken in verschiedenen Android-Versionen. Es gibt bereits Attacken.

vorlesen Druckansicht 4 Kommentare lesen
Aufmacher Android-Patchday

(Bild: heise medien)

Update
Lesezeit: 2 Min.
Security
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Geräte mit Android 13, 14, 15 und 16 sind verwundbar. Angreifer können an verschiedenen Schwachstellen ansetzen, um Smartphones und Tablets im schlimmsten Fall vollständig zu kompromittieren. Bislang gibt es keine Berichte, dass bereits Attacken laufen. Sicherheitspatches stehen für ausgewählte Geräte zum Download bereit.

Update

Google warnt davor, dass Angreifer derzeit zwei Lücken (CVE-2025-38352 "hoch", CVE-2025-48543 "hoch") in "begrenztem" Rahmen und "gezielt" ausnutzen. Die erste Lücke betrifft den Kernel und die zweite Android Runtime. In beiden Fällen können sich Angreifer höhere Nutzerrechte aneignen.

Auswirkungen von Attacken

In einer Warnmeldung stufen die Android-Entwickler eine "kritische" Lücke (CVE-2025-48539) im System am gefährlichsten ein. Davon sind Android 15 und 16 betroffen. Der knappen Beschreibung der Lücke zufolge sollen Attacken aus der Ferne ohne zusätzliche Ausführungsberechtigungen und ohne ein Zutun von Opfern möglich sein. Die Entwickler haben noch weitere Schwachstellen in Systemkomponenten geschlossen. Sind Attacken an diesen Stellen erfolgreich, können sich Angreifer primär höhere Nutzerrechte verschaffen. Es können aber auch Daten leaken oder Dienste abstürzen (DoS). Die Schwachstellen sind mit dem Bedrohungsgrad "hoch" eingestuft.

Sicherheitslücken mit solchen Auswirkungen betreffen auch das Framework. Wie Attacken in diesen Fällen konkret ablaufen können, geht derzeit aus der Warnmeldung nicht hervor. Eine weitere Schwachstelle (CVE-2025-32332 "hoch") betrifft die DRM-Komponente Widevine. Ferner haben die Entwickler noch Lücken im Kernel und verschiedenen Komponenten von Arm, Imagination, MediaTek und Qualcomm geschlossen. In diesem Kontext sind beispielsweise Angriffe auf die Modem- und WLAN-Komponente möglich.

Videos by heise

Sicherheitspatches

Die Entwickler versichern, die Lücken in den Patch Levels 2025-09-01 und 2025-09-05 geschlossen zu haben. Die Sicherheitsupdates gibt es für noch im Support befindliche Pixel-Geräte von Google (siehe Kasten). Darüber hinaus stellen noch unter anderem Samsung und Huawei monatlich Updates für ausgewählte Geräte zum Download bereit.

Android-Patchday
Android-Patchday

Neben Google veröffentlichen noch weitere Hersteller regelmäßig Sicherheitspatches - aber meist nur für einige Produktserien. Geräte anderer Hersteller bekommen die Updates erheblich später oder, im schlimmsten Fall, gar nicht.

(des)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten