Android Juni-Patch: 18 kritische Lücken, eine wird bereits angegriffen

Besonders brisant: Eine Zero-Day-Lücke ist bereits im Visier von Angreifern.

Aktive Angriffe auf Android-Framework

Die wohl kritischste Korrektur betrifft CVE-2025-48595, einen Integer-Overflow im Android-Framework. Mit einem CVSS-Wert von 8,4 ermöglicht die Schwachstelle eine Rechteausweitung – und wird bereits in gezielten Angriffen ausgenutzt. Wer genau hinter den Attacken steckt, ist bislang unklar.

Anzeige: Die aktiv ausgenutzte Zero-Day-Lücke CVE-2025-48595 gefährdet Ihr Unternehmen – und 17 weitere kritische Schwachstellen warten auf den Patch. Dieser Report zeigt, wie Sie Ihre Android-Geräte in zwei Schritten absichern. Jetzt kostenlosen Sicherheits-Report anfordern

Insgesamt stuft Google 18 der behobenen Lücken als kritisch ein. Darunter befindet sich CVE-2025-65018, ein Framework-Fehler, der eine Remotecodeausführung ohne Benutzerinteraktion erlaubt. Ebenfalls geschlossen wurde CVE-2026-0059: Ein Heap-Overflow über Bluetooth, der ohne Klick des Nutzers auskommt – der einzige Remote-Code-Exploit in diesem Update-Zyklus.

Sicherheitsforscher weisen darauf hin, dass Google zwar monatlich die kritischsten Lücken schließt, umfassendere System-Updates jedoch seit Juli 2025 nur noch vierteljährlich erscheinen. Zudem könnten einige Geräte mit Komponenten von Imagination Technologies, MediaTek, Qualcomm oder Unisoc weiterhin verwundbar bleiben.

Zwei Patch-Level für Android-Geräte

Das Update wird in zwei Stufen ausgerollt: die Patch-Level 2026-06-01 und 2026-06-05. Googles Pixel-Smartphones erhielten die Korrekturen bereits Anfang Juni. Bei anderen Herstellern wie Samsung, OnePlus, Motorola oder Xiaomi kann der Rollout zeitlich variieren. Nutzer können ihren Sicherheitsstatus in den Geräteeinstellungen unter „Android-Version“ prüfen. Einige Komponenten werden zudem über Project Mainline via Google Play Store aktualisiert.

Notfall-Update für Chrome

Parallel zum Android-Patch veröffentlichte Google am 9. Juni ein Notfall-Update für den Chrome-Browser. Es schließt CVE-2026-11645, eine hochriskante Schwachstelle in der V8-JavaScript-Engine, die einen Speicherfehler auslösen kann. Es ist bereits der fünfte Chrome-Zero-Day im Jahr 2026 – nach Korrekturen im Februar, März und April.

„HTTP/2 Bomb“ bedroht weiterhin Hunderttausende Server

Anfang Juni wurde zudem CVE-2026-49975 bekannt, die sogenannte „HTTP/2 Bomb“. Diese Denial-of-Service-Lücke betrifft Standardkonfigurationen gängiger Webserver wie NGINX, Apache HTTPD und Microsoft IIS. Obwohl NGINX bereits im April einen Fix bereitstellte, sind Schätzungen zufolge noch rund 880.000 Websites potenziell verwundbar. Ein einziger Angreifer kann damit binnen Sekunden große Mengen Serverspeicher blockieren.

Anzeige: Google schließt 18 kritische Lücken – doch viele Geräte bleiben durch vierteljährliche Updates verwundbar. Erfahren Sie, welche Komponenten von Qualcomm, MediaTek und anderen weiterhin Risiken bergen und wie Sie mit Project Mainline die kritischsten Lücken sofort schließen. Sicherheits-Report mit Risikoanalyse jetzt sichern

Neue Funktionen: Quick Share trifft AirDrop

Neben Sicherheitskorrekturen bringt das Juni-Update auch praktische Neuerungen. Quick Share ist nun auf ausgewählten High-End-Geräten von Samsung, Google, Xiaomi und OnePlus mit Apples AirDrop kompatibel – ein lang erwarteter Schritt zur plattformübergreifenden Dateiübertragung.

Der Google Play Store v51.8 führt mit „Ask Play“ eine KI-gestützte Suchfunktion ein. Hinzu kommen ein neuer Find Hub zur Ortung entfernter Geräte sowie die Möglichkeit, Passwörter und Passkeys zwischen Google Password Manager und Drittanbieter-Tools über den Credential Exchange Standard zu importieren und exportieren. Für Nutzer in den USA, Indien und Brasilien hat Google Fotos zudem eine neue Kleiderschrank-Funktion eingeführt – kompatibel mit Geräten ab Android 10.

de | wissenschaft | 69511198 |