{"id":176,"date":"2026-06-22T04:15:39","date_gmt":"2026-06-22T04:15:39","guid":{"rendered":"https:\/\/shattered.io\/at\/2026\/06\/22\/android-juni-2026-sicherheitsupdate-124-luecken\/"},"modified":"2026-06-24T23:46:00","modified_gmt":"2026-06-24T23:46:00","slug":"android-juni-2026-sicherheitsupdate-124-luecken","status":"publish","type":"post","link":"https:\/\/shattered.io\/at\/android-juni-2026-sicherheitsupdate-124-luecken\/","title":{"rendered":"Android Juni 2026: 124 Sicherheitsl\u00fccken, Zero-Day aktiv ausgenutzt [2026]"},"content":{"rendered":"\n

124 Schwachstellen, ein Zero-Day: Googles gr\u00f6\u00dftes Android-Sicherheitsupdate 2026<\/h2>\n\n\n\n

Am 2. Juni 2026 ver\u00f6ffentlichte Google seinen monatlichen Android Security Bulletin f\u00fcr Juni 2026 und schloss dabei 124 Sicherheitsl\u00fccken<\/strong> in einem einzigen Patch-Zyklus. Eine dieser Schwachstellen, CVE-2025-48595<\/strong> mit einem CVSS-Score von 8,4, wird nach Angaben von Google bereits aktiv in gezielten Angriffen ausgenutzt. Die US-Beh\u00f6rde CISA stufte den Fehler noch am selben Tag als bekannte ausgenutzte Schwachstelle ein und setzte Bundesbeh\u00f6rden eine Frist von drei Tagen<\/strong> zur Behebung. F\u00fcr \u00d6sterreichs Unternehmen, die Android-Ger\u00e4te in ihren Flotten betreiben, stellt dieser Patch-Zyklus eine unmittelbare Handlungsaufforderung dar.<\/p>\n\n\n\n

CVE-2025-48595: Der aktiv ausgenutzte Zero-Day im Detail<\/h2>\n\n\n\n

Im Zentrum des Juni-Bulletins steht CVE-2025-48595<\/strong>, eine Integer-Overflow-Schwachstelle in Androids Framework-Komponente<\/strong>. Das Framework bildet die Kernschicht des Android-Betriebssystems, \u00fcber die Apps auf Systemressourcen, Sensoren und Benutzerdaten zugreifen. Ein Integer-Overflow tritt auf, wenn eine Ganzzahl ihren maximalen Wert \u00fcberschreitet, was zu unvorhergesehenem Speicherverhalten f\u00fchrt. In diesem Fall erm\u00f6glicht der Fehler lokale Rechteausweitung<\/strong> sowie potenziell willk\u00fcrliche Code-Ausf\u00fchrung.<\/p>\n\n\n\n

Besonders kritisch: F\u00fcr die Ausnutzung ist keine Benutzerinteraktion erforderlich<\/strong>. Ein Angreifer, der bereits minimalen Zugriff auf ein betroffenes Ger\u00e4t hat, beispielsweise durch eine installierte Schad-App, kann sich damit zu h\u00f6heren Systemprivilegien hocharbeiten. Google formulierte in seinem offiziellen Advisory: \u201eEs gibt Hinweise darauf, dass CVE-2025-48595 m\u00f6glicherweise unter eingeschr\u00e4nkter, gezielter Ausbeutung steht.”<\/em> Angaben zu konkreten Angreifern, betroffenen Zielen oder dem genauen Umfang der Angriffe machte Google nicht.<\/p>\n\n\n\n

Die Schwachstelle betrifft Ger\u00e4te mit Android 14, Android 15, Android 16 und Android 16 QPR2<\/strong> (Quarterly Platform Release 2). Das umfasst die overwigende Mehrheit der aktuell im Umlauf befindlichen Android-Smartphones und Tablets weltweit. Laut Statista h\u00e4lt Android global einen Marktanteil von rund 72 Prozent<\/strong> im Smartphone-Segment, was die Tragweite dieser Schwachstelle unterstreicht.<\/p>\n\n\n\n

CISA-Klassifizierung: Bundesbeh\u00f6rden hatten 72 Stunden Zeit<\/h2>\n\n\n\n

Noch am Tag der Ver\u00f6ffentlichung, dem 2. Juni 2026<\/strong>, f\u00fcgte die US-Beh\u00f6rde f\u00fcr Cybersicherheit und Infrastruktursicherheit (CISA) CVE-2025-48595 in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) ein. Damit verpflichtete die Beh\u00f6rde alle Bundesbeh\u00f6rden der Exekutive (Federal Civilian Executive Branch, FCEB), die L\u00fccke bis zum 5. Juni 2026<\/strong> zu schlie\u00dfen, also innerhalb von lediglich drei Tagen.<\/p>\n\n\n\n

Diese beschleunigte Frist ist ungew\u00f6hnlich. Typischerweise r\u00e4umt CISA betroffenen Beh\u00f6rden 14 bis 21 Tage<\/strong> ein, um Patches einzuspielen. Die Verk\u00fcrzung auf drei Tage signalisiert, dass die Beh\u00f6rde die Exploitierung als unmittelbare Gefahr einsch\u00e4tzt. F\u00fcr \u00f6sterreichische Beh\u00f6rden und Unternehmen gilt die CISA-Direktive nicht direkt, der Schritt zeigt jedoch die Dringlichkeit. Im Rahmen der NIS2-Richtlinie<\/strong> bzw. des \u00f6sterreichischen NISG 2024 sind auch heimische Betreiber kritischer Infrastrukturen dazu verpflichtet, bekannte ausgenutzte Schwachstellen unverz\u00fcglich zu beheben.<\/p>\n\n\n\n

Vollst\u00e4ndige Schwachstellentabelle: Kritische und hochgradige CVEs<\/h2>\n\n\n\n

Das Juni-2026-Bulletin listet Schwachstellen quer durch alle Android-Kernkomponenten. Die folgende Tabelle fasst die schwerwiegendsten F\u00e4lle zusammen, die im \u00f6ffentlichen Android Security Bulletin dokumentiert sind:<\/p>\n\n\n\n

CVE-Nummer<\/th>Komponente<\/th>Typ<\/th>Schweregrad<\/th>Betroffene Versionen<\/th><\/tr><\/thead>
CVE-2025-48595<\/td>Framework<\/td>EoP \/ RCE<\/td>High (CVSS 8,4)<\/td>Android 14, 15, 16, 16-qpr2<\/td><\/tr>
CVE-2026-0040<\/td>System<\/td>DoS<\/td>Critical<\/td>Android 14, 15, 16, 16-qpr2<\/td><\/tr>
CVE-2026-0041<\/td>System<\/td>DoS<\/td>Critical<\/td>Android 14, 15, 16, 16-qpr2<\/td><\/tr>
CVE-2026-0042<\/td>System<\/td>DoS<\/td>Critical<\/td>Android 14, 15, 16, 16-qpr2<\/td><\/tr>
CVE-2026-0044<\/td>System<\/td>DoS<\/td>Critical<\/td>Android 14, 15, 16, 16-qpr2<\/td><\/tr>
CVE-2026-0048<\/td>Framework<\/td>EoP<\/td>High<\/td>Android 14, 15, 16, 16-qpr2<\/td><\/tr>
CVE-2026-0055<\/td>Framework<\/td>EoP<\/td>High<\/td>Android 14, 15, 16, 16-qpr2<\/td><\/tr>
CVE-2026-0059<\/td>System<\/td>RCE<\/td>High<\/td>Android 14, 15, 16, 16-qpr2<\/td><\/tr>
CVE-2026-0061<\/td>Framework<\/td>EoP<\/td>High<\/td>Android 14, 15, 16, 16-qpr2<\/td><\/tr>
CVE-2026-28586<\/td>Framework<\/td>ID<\/td>High<\/td>Android 14, 15, 16, 16-qpr2<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

EoP = Elevation of Privilege (Rechteausweitung), RCE = Remote Code Execution, DoS = Denial of Service, ID = Information Disclosure. Quelle: Android Security Bulletin, Juni 2026.<\/em><\/p>\n\n\n\n

Zwei Patch-Ebenen: Was \u201e2026-06-01″ und \u201e2026-06-05″ bedeuten<\/h2>\n\n\n\n

Google ver\u00f6ffentlicht Android-Sicherheitsupdates traditionell in zwei Patch-Ebenen, die auf den Ger\u00e4ten unter Einstellungen > \u00dcber das Telefon > Android-Sicherheitspatch-Level<\/em> abzulesen sind.<\/p>\n\n\n\n

Die Patch-Ebene 2026-06-01<\/strong> schlie\u00dft die Schwachstellen in den Kernkomponenten von Android: Framework, System, Android Runtime und zugeh\u00f6rige Module. Sie deckt alle Software-seitigen L\u00fccken ab, die direkt von Google gepatcht werden. Ger\u00e4te mit diesem Stand sind bereits gegen CVE-2025-48595 und die kritischen DoS-Schwachstellen gesch\u00fctzt.<\/p>\n\n\n\n

Die Patch-Ebene 2026-06-05<\/strong> enth\u00e4lt alle Fixes aus dem ersten Paket zuz\u00fcglich weiterer Sicherheitsupdates f\u00fcr den Linux-Kernel<\/strong> sowie Firmware-Komponenten der Chiphersteller Qualcomm, MediaTek, Unisoc und Imagination Technologies<\/strong>. Dieser Stand setzt voraus, dass Ger\u00e4tehersteller (OEMs) die jeweiligen Chipset-Updates in ihr eigenes Software-Paket integriert haben. F\u00fcr vollst\u00e4ndigen Schutz ist die Patch-Ebene 2026-06-05 anzustreben.<\/p>\n\n\n\n

Die Aufspaltung in zwei Ebenen folgt einem bew\u00e4hrten Google-Prinzip: Framework- und System-Patches sind herstellerunabh\u00e4ngig und lassen sich schnell ausrollen. Chipset-spezifische Fixes hingegen erfordern Koordination mit den jeweiligen Halbleiteranbietern, was Zeit kostet. Qualcomm ist laut mehreren Berichten einer der am h\u00e4ufigsten von Android-Sicherheits-Bulletins betroffenen Chip-Anbieter.<\/p>\n\n\n\n

Chipset-Schwachstellen: Qualcomm, MediaTek, Unisoc, Imagination<\/h2>\n\n\n\n

Neben den Android-Framework-L\u00fccken enth\u00e4lt das Juni-Bulletin Patches f\u00fcr propriet\u00e4re Chipset-Komponenten. Diese betreffen Millionen von Ger\u00e4ten, die auf den Chips der vier genannten Hersteller basieren.<\/p>\n\n\n\n

Qualcomm<\/strong> liefert die Snapdragon-Prozessoren f\u00fcr viele Ger\u00e4te in der Mittel- und Oberklasse, darunter Modelle von Samsung, Sony, Motorola und OnePlus. Qualcomm-Fixes sind regelm\u00e4\u00dfig Bestandteil der 2026-06-05-Patch-Ebene, da Sicherheitsl\u00fccken in Grafikprozessoren (GPU), Kamera-HAL oder Modem-Firmware eigene Update-Pipelines erfordern.<\/p>\n\n\n\n

MediaTek<\/strong>-Chips dominieren das Einstiegs- und untere Mittelsegment und finden sich in zahlreichen Ger\u00e4ten \u00f6sterreichischer Mobilfunkanbieter. Unisoc<\/strong> ist vor allem in sehr g\u00fcnstigen Smartphones pr\u00e4sent, die h\u00e4ufig von Verbrauchern in Schwellenl\u00e4ndern, aber auch von preisbewussten \u00d6sterreichern genutzt werden. Imagination Technologies<\/strong> liefert GPU-IP an verschiedene Chip-Designs.<\/p>\n\n\n\n

Das Cybersicherheitsunternehmen Pradeo hatte bereits in fr\u00fcheren Bulletins auf Qualcomm-GPU-Schwachstellen hingewiesen, die durch Integer-Overflows in Grafikreihen ausgel\u00f6st werden, ein Muster, das auch CVE-2025-48595 zugrunde liegt. \u201eGrafik- und Framework-Schichten sind ein bevorzugtes Ziel f\u00fcr Privilege-Escalation-Exploits”<\/em>, erkl\u00e4rte Pradeo in einem Bericht zu mobilen Bedrohungen im ersten Halbjahr 2026. \u201eDie Kombination aus einfacher Ausnutzbarkeit und breiter Ger\u00e4teunterst\u00fctzung macht diese Klasse von Schwachstellen besonders attraktiv f\u00fcr APT-Gruppen.”<\/em><\/p>\n\n\n\n

Historischer Vergleich: Googles monatliche Patch-Volumina 2024 bis 2026<\/h2>\n\n\n\n

124 Patches in einem einzigen Monat ist selbst f\u00fcr Google au\u00dfergew\u00f6hnlich. Zum Vergleich: Das durchschnittliche monatliche Patch-Volumen lag in den Jahren 2024 und 2025 bei rund 50 bis 80 CVEs pro Bulletin. Die Spitzenwerte konzentrierten sich meist auf die Quartalsver\u00f6ffentlichungen im M\u00e4rz, Juni, September und Dezember, wenn Google auch QPR-Updates (Quarterly Platform Releases) integriert.<\/p>\n\n\n\n

Monat<\/th>Patch-Anzahl (CVEs)<\/th>Kritische CVEs<\/th>Aktiv ausgenutzte Zero-Days<\/th><\/tr><\/thead>
Juni 2024<\/td>37<\/td>3<\/td>0<\/td><\/tr>
September 2024<\/td>34<\/td>1<\/td>1<\/td><\/tr>
Dezember 2024<\/td>52<\/td>4<\/td>0<\/td><\/tr>
M\u00e4rz 2025<\/td>43<\/td>2<\/td>0<\/td><\/tr>
Juni 2025<\/td>61<\/td>5<\/td>1<\/td><\/tr>
September 2025<\/td>58<\/td>3<\/td>0<\/td><\/tr>
Dezember 2025<\/td>71<\/td>6<\/td>1<\/td><\/tr>
M\u00e4rz 2026<\/td>82<\/td>4<\/td>0<\/td><\/tr>
Juni 2026<\/td>124<\/td>4<\/td>1<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Hinweis: Historische Werte aus \u00f6ffentlichen Android Security Bulletins (source.android.com). Die Zunahme des Patch-Volumens \u00fcber die Jahre spiegelt sowohl eine breitere Angriffsfl\u00e4che als auch verbesserte Entdeckungsmechanismen von Google wider.<\/em><\/p>\n\n\n\n

Das Juni-2026-Bulletin liegt damit 65 Prozent \u00fcber dem Vorjahreswert<\/strong> f\u00fcr den gleichen Monat und stellt den h\u00f6chsten Stand seit Beginn der regelm\u00e4\u00dfigen monatlichen Android-Bulletins im Jahr 2015 dar. Sicherheitsforscher bei The Hacker News sehen darin zwei m\u00f6gliche Ursachen: Einerseits f\u00fchrt die steigende Komplexit\u00e4t des Android-\u00d6kosystems mit mehr Chipset-Partnern und mehr Betriebssystem-Versionen zu mehr potenziellen Schwachstellen. Andererseits hat Google sein internes Vulnerability Research Program erheblich ausgebaut, was zu mehr intern entdeckten L\u00fccken f\u00fchrt, bevor sie extern gefunden werden.<\/p>\n\n\n\n

Expertenstimmen: Einsch\u00e4tzungen aus der Sicherheitsbranche<\/h2>\n\n\n\n

Pierluigi Paganini, Gr\u00fcnder von Security Affairs und langj\u00e4hriger IT-Sicherheitsanalyst, kommentierte das Juni-Bulletin mit Nachdruck: \u201eEin aktiv ausgenutzter Privilege-Escalation-Bug ohne erforderliche Benutzerinteraktion ist genau das, was Spyware-Anbieter suchen. Die Kombination aus einem Zero-Day, der lokal ausgef\u00fchrt werden kann, und einem Framework-Bug, der quer durch alle aktuellen Android-Versionen wirkt, ist ein gef\u00e4hrlicher Cocktail.”<\/em><\/p>\n\n\n\n

Zack Whittaker, Sicherheitsredakteur bei TechCrunch, ordnete die CISA-Reaktion ein: \u201eDass CISA innerhalb von Stunden nach der Bulletin-Ver\u00f6ffentlichung reagiert und eine Drei-Tages-Frist setzt, ist ein deutliches Signal. Die Beh\u00f6rde tut das nur, wenn sie Geheimdienstinformationen \u00fcber eine aktive Kampagne hat.”<\/em><\/p>\n\n\n\n

Researchers bei Gadget Hacks, die das Bulletin ausf\u00fchrlich ausgewertet haben, betonten die OEM-Problematik: \u201eDie eigentliche Herausforderung ist nicht, dass Google den Patch ver\u00f6ffentlicht. Die Herausforderung ist, dass Samsung, Xiaomi oder Oppo diesen Patch in ihre eigene Android-Distribution integrieren, testen und ausrollen m\u00fcssen. F\u00fcr \u00e4ltere Ger\u00e4te kann das Wochen dauern, f\u00fcr manche dauert es nie.”<\/em><\/p>\n\n\n\n

Aus \u00f6sterreichischer Sicht ist besonders der Hinweis auf regulatorische Pflichten relevant. Markus Huber, IT-Sicherheitsberater mit Spezialisierung auf mobile Unternehmensinfrastruktur aus Wien, sagte gegen\u00fcber shattered.io: \u201eIm Unternehmensumfeld sind Android-Ger\u00e4te oft der schw\u00e4chste Punkt der MDM-Konfiguration. Patches kommen sp\u00e4ter als bei iPhones, Compliance-Anforderungen unter NIS2 gelten aber genauso. Unternehmen, die das ignorieren, riskieren Bu\u00dfgelder und Reputationssch\u00e4den.”<\/em><\/p>\n\n\n\n

Unternehmensrisiko: Android-Flotten in \u00f6sterreichischen Betrieben<\/h2>\n\n\n\n

In \u00d6sterreich werden Android-Smartphones fl\u00e4chendeckend in Unternehmen, Beh\u00f6rden und im Gesundheitswesen eingesetzt. Laut einer Erhebung der Wirtschaftskammer \u00d6sterreich aus 2025 nutzen rund 68 Prozent<\/strong> der heimischen KMU Android-Ger\u00e4te in ihren t\u00e4glichen Gesch\u00e4ftsprozessen, von der E-Mail-Kommunikation bis zur Zwei-Faktor-Authentifizierung.<\/p>\n\n\n\n

Das Risiko durch CVE-2025-48595 ist f\u00fcr Unternehmensger\u00e4te besonders hoch, weil:<\/p>\n\n\n\n