Das neueste Sicherheitsupdate für Android behebt 120 Fehler, von denen zwei aktiv ausgenutzt werden.

Google veröffentlicht ein dringendes Patch-Paket für September mit Korrekturen für bereits ausgenutzte Sicherheitslücken mit hohem Schweregrad.

Rekordverdächtiges Sicherheitsupdate im September

Android hat sein größtes Sicherheitsupdate des Jahres veröffentlicht und 120 Korrekturen für Nutzer weltweit bereitgestellt. Im Gegensatz zum Update im Juli, als keine neuen Patches als notwendig erachtet wurden, ist die Dringlichkeit dieses Patch-Pakets offensichtlich: Angreifer nutzen bereits zwei Sicherheitslücken aus, die Google als „begrenzte, gezielte Ausnutzung“ bezeichnet.

Die Schwachstellen CVE-2025-38352 im Linux-Kernel und CVE-2025-48543 in der Laufzeitumgebung von Android ermöglichen eine Rechteausweitung ohne Benutzerinteraktion. Während Google die Angreifer noch nicht identifiziert hat, vermuten Forscher, dass Spyware-Anbieter die Schwachstellen ausnutzen. Das Cybersicherheits-Response-Team von Hongkong hat die Warnungen des Unternehmens verstärkt und auf Hinweise auf gezielte Aktivitäten in kleinem Maßstab hingewiesen.

Behobene Probleme bei Qualcomm und Imagination Technologies

Über die Schlagzeilen machenden Schwachstellen hinaus behebt das Update auch drei kritische Fehler in Qualcomm-Komponenten. Dazu gehören Probleme, die GPS-Systeme, mobile Datenstacks und Anrufprozessoren betreffen, darunter eines mit einer Schweregradbewertung von 9,1 von 10. Qualcomm hat kürzlich die Support-Dauer für seine Geräte auf bis zu acht Jahre verlängert, was weithin als Übereinstimmung mit Googles Bestrebungen nach längeren Software-Lebenszyklen angesehen wird.

Imagination Technologies, das Unternehmen hinter den PowerVR-Grafikchips, die in vielen Android-Geräten zu finden sind, hat mit diesem Patch-Paket ebenfalls Aufmerksamkeit erregt, da 10 schwerwiegende Probleme in seinen GPU-Treibern behoben wurden.

Ein besorgniserregender kritischer Fehler in der Systemkomponente

Während die meisten Korrekturen als schwerwiegend eingestuft sind, sticht ein weiterer Fehler im Kernsystem von Android hervor. Dieser als CVE-2025-48539 erfasste Fehler ist eine Schwachstelle bei der Remote-Code-Ausführung (RCE), die es Angreifern theoretisch ermöglichen könnte, ein Gerät ohne physischen Zugriff zu kompromittieren.

Leider verlangsamt das fragmentierte Android-Ökosystem oft die Verteilung von Patches. Während die Pixel-Smartphones von Google sofort Updates erhalten, dauert es bei anderen Herstellern länger, sodass Millionen von Geräten ungeschützt bleiben.

Google hält derzeit nur etwa vier Prozent des US-Smartphone-Marktes, was bedeutet, dass die meisten Android-Nutzer auf Hersteller wie Samsung und Motorola angewiesen sind, um Updates zu erhalten. Bislang hat keines der beiden Unternehmen angegeben, wann Nutzer mit diesen Patches rechnen können.

Zusätzliche Sicherheitsebene über Patches hinaus

Es ist immer wichtig, Sicherheitspatches sofort nach Erhalt zu installieren. Dadurch können genau die Lücken geschlossen werden, auf die Angreifer in anfälligen Systemen abzielen. Dennoch können Schwachstellen ausgenutzt werden, bevor die Korrekturen alle Geräte erreichen, und hier kommen spezielle Sicherheitstools ins Spiel.

Lösungen wie Bitdefender Mobile Security für Android bieten einen zusätzlichen Schutz, indem sie Malware, Phishing-Versuche und verdächtige Apps in Echtzeit blockieren. Spezielle Tools sind zwar kein Ersatz für Sicherheitspatches, können aber dazu beitragen, Nutzer während der oft langen Wartezeit bis zur Bereitstellung der Patches durch die Hersteller zu schützen.