Zwei aktiv ausgenutzte Zero-Day-Schwachstellen machen das September-Update zu einem der kritischsten des Jahres. Milliarden von Nutzern sollten ihre Geräte sofort aktualisieren.

Google hat am Dienstag sein September-Sicherheitsbulletin für Android veröffentlicht – und die Zahlen sind alarmierend. Über 100 Schwachstellen wurden geschlossen, darunter zwei Zero-Day-Lücken, die bereits aktiv von Angreifern ausgenutzt werden. Das macht dieses Update zu einem der umfangreichsten Sicherheits-Patches des Jahres.

Besonders brisant: Die beiden kritischsten Schwachstellen ermöglichen es Hackern, erweiterte Systemrechte zu erlangen – und das ohne jegliche Nutzer-Interaktion. Googles Threat Analysis Group entdeckte die Angriffe, was auf den Einsatz in professionellen Spionage-Kampagnen hindeutet.

Zero-Day-Angriffe im Fokus der Cyberkriminellen

Die größte Bedrohung geht von zwei Schwachstellen aus: CVE-2025-38352 im Linux-Kernel und CVE-2025-48543 in der Android Runtime. Beide ermöglichen eine Privilegien-Eskalation – Angreifer können also über schädliche Apps tieferen Systemzugang erlangen.

Was die Lücken so gefährlich macht? Sie erfordern keine Nutzer-Aktion. Eine installierte Malware-App könnte unbemerkt Systemrechte erweitern und sensible Daten abgreifen oder das Gerät vollständig kompromittieren.

Die Patches werden bereits auf Pixel-Geräte ausgerollt. Andere Android-Hersteller folgen in den kommenden Wochen – abhängig von ihren Update-Zyklen.

Anzeige: Apropos Zero-Day-Angriffe: Updates sind Pflicht – doch viele Android-Nutzer übersehen 5 einfache Zusatzmaßnahmen, die WhatsApp, Online-Banking und Shopping spürbar sicherer machen. Ein kostenloser Ratgeber führt Schritt für Schritt durch geprüfte Einstellungen und Checklisten – ganz ohne teure Zusatz-Apps. Jetzt das kostenlose Android-Sicherheitspaket herunterladen

Größter Security-Patch seit Monaten

Neben den Zero-Days schließt Google zwischen 111 und 120 weitere Schwachstellen. Die Patches werden über zwei Ebenen verteilt: 1. September und 5. September 2025. Diese Strategie soll Herstellern helfen, kritische Updates schneller zu verteilen.

Besonders hervorzuheben ist CVE-2025-48539 in der Systemkomponente. Diese kritische Lücke könnte Remote-Code-Ausführung ohne zusätzliche Berechtigungen ermöglichen. Auch Schwachstellen in Chips von Qualcomm, ARM und MediaTek wurden gepatcht – das gesamte Android-Ökosystem profitiert.

Android 16 bringt Desktop-Funktionen

Parallel zu den Sicherheits-Updates rüstet Google Android 16 mit Produktivitäts-Features auf. Tablets und große Bildschirme erhalten einen Desktop-Modus: Mehrere Apps lassen sich gleichzeitig öffnen, vergrößern und gruppieren – ähnlich einem Computer-Desktop.

Neue Tastatur-Shortcuts beschleunigen die Navigation auf größeren Geräten. Notifications werden automatisch gruppiert, Live-Updates in der Benachrichtigungsleiste zeigen etwa Lieferstatus in Echtzeit an.

Strategie-Wechsel bei Android-Updates

Hinter dem massiven September-Update steckt Googles neue "Risk-Based Update System"-Strategie. Kritische Schwachstellen erhalten schnelle monatliche Patches, weniger gefährliche Lücken werden in vierteljährliche Updates gebündelt.

Der Kontrast ist deutlich: Das Juli-Bulletin listete null Schwachstellen, September über 100. Diese Schwankung spiegelt die neue Priorisierung wider – dringende Bedrohungen werden sofort adressiert, während weniger kritische Lücken gesammelt bearbeitet werden.

Für Hersteller bedeutet das weniger Update-Stress bei gleichzeitig besserem Schutz vor akuten Bedrohungen.

Was Nutzer jetzt tun müssen

Die Botschaft ist eindeutig: Sofort updaten. In den Systemeinstellungen unter "System-Updates" prüfen, ob das September-2025-Sicherheitsupdate verfügbar ist.

Google plant zudem verschärfte App-Kontrollen: Ab 2026 müssen alle Apps, auch seitlich geladene, von verifizierten Entwicklern stammen. Das soll anonyme Malware-Verbreitung erschweren.

Anzeige: Wer sein Smartphone nach dem September-Patch zusätzlich absichern will, findet hier praktische Hilfe: Ein Gratis-Guide bündelt die 5 wichtigsten Schutzmaßnahmen – ohne Fachchinesisch und ohne Zusatz-Apps. Tipp 3 schließt eine oft unterschätzte Lücke. Kostenlosen Android-Sicherheitsratgeber jetzt sichern

Angesichts der aktiven Zero-Day-Ausnutzung ist das September-Update kein optionales Nice-to-have, sondern ein kritischer Sicherheits-Patch. Wer sein Android-Gerät schützen will, sollte nicht zögern.