Google hat sein September-Update für Android veröffentlicht und dabei eine beunruhigende Bilanz vorgelegt: Über 100 Sicherheitslücken mussten geschlossen werden, darunter zwei Zero-Day-Schwachstellen, die bereits aktiv für Angriffe ausgenutzt wurden. Das macht das September-Patch zum größten Sicherheitsupdate des Jahres. Experten raten allen Android-Nutzern zu sofortiger Installation.

Die beiden kritischsten Bedrohungen tragen die Bezeichnungen CVE-2025-38352 und CVE-2025-48543. Google bestätigt, dass beide Lücken für "begrenzte, gezielte Angriffe" missbraucht wurden - bevor ein Patch verfügbar war. Eine der Schwachstellen entdeckte Googles eigenes Threat Analysis Team (TAG), was auf professionelle Spionage-Kampagnen hindeutet.

Besonders brisant: Bei beiden Zero-Days ist keine Nutzerinteraktion erforderlich. Angreifer können die Schwachstellen ausnutzen, ohne dass das Opfer etwas merkt oder aktiv werden muss.
Anzeige: Apropos Zero‑Days ohne Nutzerinteraktion: Viele Android‑Nutzer übersehen einfache Schritte, die ihr Gerät spürbar sicherer machen. Ein kostenloser Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen – mit klaren Schritt‑für‑Schritt‑Anleitungen für WhatsApp, Online‑Banking und Shopping, ganz ohne teure Zusatz‑Apps. Jetzt das Gratis‑Sicherheitspaket für Android sichern

Zero-Days treffen Android ins Mark

Die erste aktiv ausgenutzte Lücke, CVE-2025-38352, sitzt im Linux-Kernel des Betriebssystems. Genauer gesagt im Zeit-Subsystem, wo eine sogenannte Race-Condition entsteht. Diese Schwachstelle öffnet ein kurzes Zeitfenster, in dem bösartige Apps erweiterte Berechtigungen erlangen können - und damit Androids Sicherheitsarchitektur aushebeln.

Die zweite Zero-Day-Lücke, CVE-2025-48543, betrifft die Android Runtime (ART). Das ist die Umgebung, in der alle Apps auf einem Gerät laufen. Auch hier können Angreifer die Sandbox-Beschränkungen umgehen und sensible Systemfunktionen erreichen.

Googles knappe Formulierung "begrenzte, gezielte Angriffe" deutet auf hochwertige Ziele hin. Oft stecken dahinter staatlich geförderte Hacker oder kommerzielle Spionage-Software.

Kritische Lücke ermöglicht Fernzugriff

Neben den Zero-Days schließt das Update eine weitere alarmierende Schwachstelle: CVE-2025-48539 erhält Googles höchste Risikobewertung "kritisch". Der Grund: Die Lücke ermöglicht Remote Code Execution (RCE) - also die Fernsteuerung eines Geräts.

Ein Angreifer in der Nähe, etwa im selben WLAN oder Bluetooth-Netz, kann beliebigen Code auf dem Zielgerät ausführen. Ohne zusätzliche Berechtigungen, ohne Nutzerinteraktion. Das Gerät wird stillschweigend kompromittiert.

Das September-Update umfasst insgesamt zwei Patch-Level: 2025-09-01 und 2025-09-05. Neben den Android-Komponenten Framework und Widevine DRM werden auch mehrere kritische Lücken in Qualcomm-Chips geschlossen.

Samsung reagiert mit Notfall-Patch

Parallel zu Googles Mammut-Update warnt Samsung vor einer eigenen Zero-Day-Lücke. CVE-2025-21043 betrifft eine proprietäre Bildverarbeitungs-Bibliothek auf Samsung-Geräten mit Android 13 oder neuer.

Die Teams von Meta und WhatsApp entdeckten die Schwachstelle. Bösartige Bilder können zur Fernsteuerung des Geräts führen - ein Hinweis auf mögliche Angriffe über Messenger-Dienste. Das unterstreicht die Komplexität der Android-Lieferkette: Sicherheitslücken lauern nicht nur im Betriebssystem, sondern auch in herstellerspezifischen Komponenten.

Sofortige Installation dringend empfohlen

Die Dimension des September-Updates verdeutlicht die anhaltenden Bedrohungen für mobile Geräte. Zwei aktiv ausgenutzte Zero-Days, eine davon entdeckt von Googles Spezialteam für staatliche Hacker, zeigen die Professionalität der Angreifer.

Nutzer sollten das Update unverzüglich installieren. Der Weg führt über "Einstellungen > System > Software-Updates", wobei die genaue Navigation je nach Hersteller variieren kann. Da Gerätehersteller ihre Updates zu unterschiedlichen Zeiten veröffentlichen, kann es zu Verzögerungen kommen.

Angesichts der kritischen Zero-Days und der Remote-Execution-Lücke ist schnelles Handeln aber unerlässlich. Das September-Update trägt die Sicherheitspatch-Level 2025-09-05 oder später - ein kleiner Blick in die Einstellungen zeigt, ob das eigene Gerät bereits geschützt ist.