Android-Patch: Google schließt 124 Lücken, Zero-Day wird angegriffen
10.06.2026 - 17:42:12 | boerse-global.de
Das Update schließt 124 Sicherheitslücken in Android 14 bis 16. Besonders brisant: Eine Zero-Day-Schwachstelle wird bereits aktiv angegriffen.
Zwei kritische Lücken im Fokus
Die Sicherheitsforscher warnen vor allem vor der Schwachstelle CVE-2025-65018. Sie erlaubt eine Remote-Code-Ausführung – ganz ohne Zutun des Nutzers. Noch gefährlicher ist die Zero-Day-Lücke CVE-2025-48595. Sie wurde laut Sicherheitsberichten bereits ausgenutzt und hat eine CVSS-Bewertung von 8,4. Die Lücke dient der lokalen Rechteausweitung auf betroffenen Geräten.
Anzeige: Eine Zero-Day-Lücke wird bereits aktiv ausgenutzt – und bis zu 950 Millionen Geräte sind durch alte Media-Library-Schwachstellen gefährdet. Mit unserer Sofort-Checkliste prüfen Sie in 2 Minuten, ob Ihr Gerät betroffen ist, und erhalten einen 3-Schritte-Plan für den schnellen Patch. Jetzt kostenlosen Sicherheits-Check anfordern
Die Patches rollen seit dem 1. und 5. Juni aus. Googles eigene Pixel-Geräte werden bevorzugt beliefert.
Alte Android-Versionen bleiben Risiko
Doch die aktuellen Patches sind nur die Spitze des Eisbergs. Das Sicherheitsunternehmen Zimperium warnt vor anhaltenden Risiken durch Schwachstellen in der C++-Media-Library – etwa die berüchtigte Stagefright-Lücke. Bis zu 950 Millionen Geräte könnten betroffen sein, das sind rund 95 Prozent aller Android-Geräte.
Besonders kritisch: Ältere Versionen ab Android 2.2 sind extrem anfällig. Android Jelly Bean läuft noch auf 11 Prozent aller Geräte. Das Problem: Während Google interne Korrekturen schnell bereitstellt, dauert der Rollout auf die Endgeräte der Hersteller oft Monate.
Instagram-Panne legt Nutzerdaten offen
Neben den Betriebssystem-Updates gab es in der ersten Juni-Woche weitere Sicherheitsvorfälle. Am 9. Juni führte ein technischer Fehler bei Instagram dazu, dass bei der Passwort-Wiederherstellung Telefonnummern und E-Mail-Adressen unverschlüsselt angezeigt wurden. Auch prominente Accounts waren betroffen. Meta bestätigte den Fehler und gab an, ihn nach wenigen Stunden behoben zu haben.
Angriff auf französischen Regierungs-Messenger
Bereits am 7. Juni traf es den französischen Regierungs-Messenger Tchap. Angreifer verschafften sich Zugriff auf ein Nutzerkonto und kompromittierten Daten von 73.467 Nutzern – rund 9 Prozent der gesamten Nutzerbasis. Die ANSSI hat Ermittlungen aufgenommen. Öffentliche Chats und Mediendateien wurden entwendet, private Nachrichten blieben durch Verschlüsselung geschützt.
KI-Datenverkehr bleibt unsichtbar
Anzeige: Monatelanger Rollout der Patches durch Hersteller – Ihr Gerät könnte noch ungeschützt sein. Unser Tool erkennt Stagefright-Risiken und zeigt Ihnen, wie Sie sich sofort absichern, bevor Angreifer die Lücke nutzen. Stagefright-Risiko jetzt prüfen
Ein weiteres Problem: Die Sicherheit von KI-Anwendungen. Eine Studie von Lookout und ZK Research vom 9. Juni 2026 zeigt: 60 Prozent des mobilen KI-Datenverkehrs bleibt für IT-Abteilungen unsichtbar. Das wird zum Risiko im Hinblick auf den EU-AI-Act. 78 Prozent der befragten Sicherheitsverantwortlichen könnten keine geforderten Prüfpfade vorlegen. Verstöße drohen mit Strafen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes.
Angriffswelle auf Software-Repositories
Parallel dazu beobachten Experten neue Angriffsmuster in der Software-Lieferkette. Seit Anfang Juni wurden 471 bösartige Pakete in den Repositories NPM und PyPI identifiziert. Die sogenannte Shai-Hulud-Kampagne nutzt verzögerte Schadcode-Aktivierungen, um Erkennungsmechanismen zu umgehen. Ziel der Angriffe sind vor allem Entwickler im Bereich der künstlichen Intelligenz.
