Google und US-Behörden warnen vor kritischen Zero-Day-Lücken

Eine Welle kritischer Sicherheitslücken erschüttert die digitale Welt. Google und US-Behörden kämpfen gegen aktiv ausgenutzte Zero-Day-Schwachstellen, die Milliarden Geräte bedrohen.

Für Mobilnutzer gehen die größten Gefahren von zwei Zero-Day-Lücken im Android-Betriebssystem aus. Google bestätigte, dass die Schwachstellen CVE-2025-48633 und CVE-2025-48572 bereits in „begrenzten, gezielten“ Spionagekampagnen ausgenutzt werden.

Beide Lücken betreffen das Android-Framework – die zentrale Software-Architektur, die Systemdienste und Apps verwaltet. Betroffen sind die Android-Versionen 13 bis 16.

Warum 73% der deutschen Unternehmen auf Cyberangriffe nicht vorbereitet sind. Aktuelle Zero-Day-Attacken gegen Browser und Android zeigen, wie schnell Angreifer in Systeme eindringen — oft über Lücken, die Betriebs- oder IT-Teams nicht auf dem Schirm haben. Der kostenlose Leitfaden “Cyber Security Awareness Trends” erklärt sofort anwendbare Schutzmaßnahmen, Prioritäten für Patching und welche Schritte kleine und mittlere Unternehmen jetzt umsetzen sollten. Jetzt kostenloses Cyber-Security E‑Book herunterladen

CVE-2025-48633 ermöglicht die Offenlegung sensibler Informationen. Sicherheitsexperten warnen, dass Angreifer diese Lücke nutzen könnten, um Sicherheitsmechanismen wie ASLR zu umgehen. CVE-2025-48572 ist noch gefährlicher: Diese Rechteerweiterungs-Schwachstelle erlaubt es Angreifern, die App-Sandbox zu verlassen und Systemrechte zu erlangen.

Die Formulierung „gezielte Ausnutzung“ deutet in der Branche meist auf kommerzielle Spyware-Anbieter oder staatlich unterstützte Hacker-Gruppen hin.

Browser-Krise: ANGLE-Schwachstelle betrifft Chrome und iOS

Parallel zur Android-Krise sorgt eine weitere Zero-Day-Lücke für Alarm. CVE-2025-14174 wird aktuell genutzt, um Nutzer von Google Chrome und anderen Chromium-Browsern wie Microsoft Edge zu kompromittieren.

Das Besondere: Die Schwachstelle liegt in ANGLE (Almost Native Graphics Layer Engine), einer Grafikabstraktionsschicht, die plattformübergreifend eingesetzt wird. Damit hat die Lücke weitreichende Konsequenzen.

Sicherheitsforscher bestätigten am Montag, dass CVE-2025-14174 funktional identisch mit einer WebKit-Schwachstelle ist, die Apple bereits in seinem iOS-26.2-Update behoben hat. Diese Verbindung zeigt ein seltenes Szenario, bei dem eine einzelne Schwachstelle in gemeinsamer Grafiklogik Nutzer über verschiedene Ökosysteme hinweg gefährdet.

„Die Entdeckung war eine gemeinsame Anstrengung von Apples und Googles Sicherheitsteams“, berichtete Forbes. Die Zusammenarbeit unterstreicht die Schwere der Bedrohung, die traditionelle Grenzen zwischen Betriebssystemen überschreitet.

In der Praxis reicht der Besuch einer manipulierten Website aus, um die Schwachstelle auszulösen. Angreifer könnten so beliebigen Code auf dem Gerät des Opfers ausführen.

US-Behörde CISA setzt Frist bis Januar 2026

Die US-Cybersicherheitsbehörde CISA reagierte umgehend. Sie nahm die Chrome-Schwachstelle in ihren Katalog bekannter, ausgenutzter Sicherheitslücken auf und gab Bundesbehörden eine strikte Frist: Bis zum 2. Januar 2026 müssen alle Systeme gepatcht sein.

„Diese Arten von Schwachstellen sind häufige Angriffsvektoren für bösartige Cyber-Akteure und stellen erhebliche Risiken dar“, warnte CISA in ihrer Mitteilung. Die Behörde drängt auch private Unternehmen, nicht auf das neue Jahr zu warten.

Für Android-Nutzer ist die Situation komplexer. Zwar hat Google die Patches bereits bereitgestellt, doch die Fragmentierung des Android-Ökosystems bedeutet: Viele Nutzer müssen warten, bis Hersteller wie Samsung, Xiaomi oder Motorola die Updates für ihre spezifischen Geräte freigeben. Nutzer von Google-Pixel-Geräten gehören zu den ersten, die Schutz erhalten.

2025: Das Jahr der Browser-Exploits

Mit CVE-2025-14174 erreicht 2025 einen traurigen Rekord: Es ist der achte aktiv ausgenutzte Zero-Day in Chrome in diesem Jahr allein.

„Der Fokus auf die Rendering-Engine zeigt, dass Angreifer tiefer in die komplexen Subsysteme vordringen, die das moderne Web antreiben“, analysiert ein Threat-Analyst gegenüber The Hacker News. „Diese Komponenten sind massiv, komplex und laufen auf fast jedem Gerät – perfekte Ziele für maximale Reichweite.“

Die gleichzeitige Offenlegung der Android-Framework-Lücken deutet auf eine „vollspektrale“ Angriffsstrategie hin. Bedrohungsakteure halten sich demnach Fähigkeiten offen, um Ziele unabhängig von Plattform oder Gerätetyp zu kompromittieren.

Was Nutzer jetzt tun müssen

Experten warnen vor einer volatilen Cybersicherheitslage in den letzten Wochen des Jahres. „Patch-Lücken“ sind im Dezember besonders gefährlich, wenn IT-Teams reduziert besetzt sind und Verbraucher von Feiertagen abgelenkt sind.

Dringende Maßnahmen:
* Chrome-Nutzer: Überprüfen Sie, ob Version 143.0.7499.109 oder höher installiert ist. Der Browser sollte sich automatisch aktualisieren, ein manueller Check wird empfohlen.
* Android-Nutzer: Prüfen Sie das Dezember-2025-Sicherheitsupdate. Falls Ihr Hersteller es noch nicht bereitgestellt hat: Vermeiden Sie Apps aus Drittquellen und seien Sie vorsichtig bei unerwünschten Links.
* iOS-Nutzer: Stellen Sie sicher, dass iOS 26.2 installiert ist, das die WebKit-Variante der Grafikschwachstelle behebt.

Mit der nahenden CISA-Frist und bestätigten Ausnutzungen schließt sich das Zeitfenster für präventive Maßnahmen. Die aggressive Haltung von Spyware-Anbietern deutet darauf hin, dass der Kampf um Browser und mobile Betriebssysteme 2026 weiter eskalieren wird.

PS: IT-Verantwortliche und Entscheider sollten besonders jetzt handeln. Der Gratis-Report fasst aktuelle Bedrohungen (inkl. aktiv ausgenutzter Zero-Days) zusammen, zeigt einfache Hardening-Maßnahmen, Anti-Phishing-Prävention und Prioritäten für Patch-Management — oft ohne große Investition. Holen Sie sich den Leitfaden und prüfen Sie in wenigen Schritten, ob Ihre Systeme den CISA-Fristen entsprechen. Gratis Cyber-Security-Leitfaden sichern