Kritische Dolby-Lücke bedroht Millionen Android-Geräte
17.01.2026 - 23:26:12
Eine schwerwiegende Sicherheitslücke in weit verbreiteten Dolby-Audiomodulen setzt Millionen Android-Smartphones Angriffen aus, die keinerlei Nutzerinteraktion erfordern. Die Schwachstelle mit der Kennung CVE-2025-54957 ermöglicht es Angreifern theoretisch, die Kontrolle über ein Gerät zu übernehmen, indem sie lediglich eine speziell präparierte Audiodatei versenden. Google hat den Patch nun im Januar-Update für das gesamte Android-Ökosystem bereitgestellt, nachdem eigene Pixel-Geräte bereits im Dezember 2025 geschützt wurden.
Was die Lücke so gefährlich macht
Der Fehler steckt im Dolby Digital Plus (DD+)-Decoder und wurde als „kritisch“ eingestuft. Es handelt sich um einen Pufferüberlauf, der durch einen Integer-Überlauf beim Verarbeiten bestimmter Audiodaten ausgelöst wird. Das System weist dadurch einen zu kleinen Speicherbereich zu. Beim Beschreiben überschreibt der Decoder dann benachbarte Speicherbereiche – ein klassisches Einfallstor für die Ausführung von Schadcode.
Das Besondere: Die Lücke wurde von Googles Project Zero-Forschern entdeckt und ermöglicht sogenannte Zero-Click-Angriffe. Auf Android werden eingehende Sprachnachrichten und Audio-Anhänge in vielen Apps automatisch im Hintergrund decodiert, etwa für Transkriptionen. Ein Nutzer muss die Datei nicht einmal öffnen. Der Angriff beginnt, sobald die Datei empfangen wird.
Zero‑Click‑Angriffe wie diese Dolby‑Lücke zeigen, wie gefährlich automatische Hintergrund‑Verarbeitung sein kann. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt praxisnah, wie Sie Multimedia‑Decoder, automatische Dekodierung und Patch‑Management absichern, welche Sofortmaßnahmen IT‑Teams und Privatnutzer ergreifen sollten und wie Sie eine einfache Prüfliste für Sicherheitsupdates einführen. Mit konkreten Checklisten und einem 4‑Schritte‑Plan zur Risikominderung. Jetzt Cyber‑Security‑Report herunterladen
Wer ist betroffen und was zu tun ist
Die Kernschwachstelle betrifft nicht nur Android. Forscher demonstrierten erfolgreiche Abstürze auch auf Windows- und macOS-Systemen. Microsoft hatte das Problem bereits im Oktober 2025 gepatcht. Das Hauptrisiko für eine vollständige Übernahme besteht jedoch auf Android-Geräten.
Die Empfehlung ist eindeutig: Nutzer sollten umgehend das aktuelle Sicherheitsupdate installieren. Im Systemeinstellungen muss nach einem Update mit dem Sicherheitspatch-Level 2026-01-05 oder höher gesucht werden. Die Verfügbarkeit hängt vom Hersteller und Mobilfunkanbieter ab. Bei Google Pixel-Geräten ist der Patch bereits seit Dezember verteilt.
Multimedia-Codecs: Das ewige Sicherheitsrisiko
Der Vorfall unterstreicht ein grundsätzliches Problem: Multimedia-Decoder sind ein bevorzugtes Angriffsziel. Sie müssen komplexe, oft nicht vertrauenswürdige Datenformate verarbeiten – und das zunehmend automatisiert. Was als Komfort für den Nutzer gedacht ist, öffnet Tür und Tor für Hintergrundangriffe.
Hinzu kommt die Gefahr von Angriffsketten: Könnten Angreifer diese Dolby-Lücke mit anderen, gerätespezifischen Schwachstellen kombinieren, wäre nicht nur Code-Ausführung, sondern ein tieferer Systemzugriff möglich. Googles Sicherheitsarchitektur mit Google Play Protect bietet eine Grundabsicherung. Der wirksamste Schutz bleibt aber die zeitnahe Installation von Patches.
Die Lücke zeigt erneut, wie verwundbar die globale Software-Lieferkette ist. Ein Fehler in einer einzigen, weit verbreiteten Drittkomponente kann die Sicherheit von Millionen Geräten weltweit in Frage stellen.
PS: Wenn Sie Geräte und Netzwerke nachhaltig schützen wollen, hilft reaktives Patchen allein nicht. Unser kostenloser Cyber‑Security‑Leitfaden erklärt konkret, welche Einstellungen automatische Hintergrund‑Dekodierung kontrollieren, wie Sie sichere Messaging‑Optionen priorisieren und welche Kontrollen im Patch‑Management sofort umgesetzt werden sollten. Ideal für IT‑Verantwortliche, Sicherheitsbeauftragte und interessierte Anwender, die Schutzmaßnahmen direkt umsetzen wollen. Kostenlosen Cyber‑Security‑Guide sichern
