Google schließt Android-Zero-Day CVE‑2025‑48595 in Juni-Sicherheitsupdates – 124 Lücken gepatcht
Google hat am 2. Juni 2026 die monatlichen Android-Sicherheitsupdates veröffentlicht und damit 124 Schwachstellen geschlossen – darunter den aktiv ausgenutzten Zero-Day CVE-2025-48595 (CVSS 8.4) im Android Framework. CISA stufte die Lücke noch am selben Tag als KEV ein.
Google hat am 2. Juni 2026 das monatliche Android-Sicherheitsbulletin veröffentlicht und damit insgesamt 124 Schwachstellen geschlossen. Im Mittelpunkt steht der Zero-Day CVE-2025-48595 – eine Integer-Overflow-Lücke im Android Framework mit einem CVSS-Score von 8.4, die nach Googles Angaben bereits aktiv und gezielt ausgenutzt wird. Die US-Behörde CISA hat die Schwachstelle noch am selben Tag in ihre Liste bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities, KEV) aufgenommen und Bundesbehörden eine Patch-Frist bis zum 5. Juni 2026 gesetzt.
Die Schwachstelle im Detail
CVE-2025-48595 ist ein Integer Overflow im Android Framework, der lokalen Angreifern ermöglicht, beliebigen Code auszuführen und ihre Rechte auf dem betroffenen Gerät zu erweitern (Privilege Escalation). Obwohl ein physischer oder logischer Zugriff auf das Gerät erforderlich ist, stuft Google den CVSS-Wert von 8.4 als hochkritisch ein – die aktive Ausnutzung unterstreicht die Dringlichkeit.
Die begrenzte, gezielte Ausnutzung des Zero-Days deutet laut Sicherheitsforschern auf staatliche Akteure oder den Einsatz kommerzieller Spyware-Werkzeuge hin. Neben dem Zero-Day enthält das Juni-Paket 18 als kritisch eingestufte Schwachstellen in System, Framework sowie Qualcomm-Komponenten. Besonders hervorzuheben ist CVE-2025-65018, eine Remote Privilege Escalation ohne jegliche Nutzerinteraktion – also eine sogenannte Zero-Click-Lücke in Systemkomponenten.
Das Update-Paket ist in zwei Patch-Level unterteilt: 2026-06-01 deckt Framework- und System-Fixes ab, 2026-06-05 schließt zusätzlich Hersteller- und Kernel-spezifische Lücken.
Bin ich betroffen?
Betroffen sind alle Android-Geräte ab Android 14, konkret die Versionen Android 14, 15, 16 und 16-QPR2 – unabhängig vom Gerätehersteller. Das umfasst Smartphones und Tablets von Google Pixel, Samsung, Xiaomi, OnePlus, Oppo, Sony und allen anderen Android-OEMs.
Den aktuellen Sicherheitspatch-Level eines Android-Geräts prüft man unter Einstellungen → Über das Telefon → Android-Sicherheitspatch-Level. Zeigt das Gerät einen Stand vor dem 2026-06-05, ist es verwundbar und sollte umgehend aktualisiert werden.
| Android-Version | Betroffen |
|---|---|
| Android 13 und älter | Kein offizielles Patch-Level genannt |
| Android 14 | Ja – Patch auf 2026-06-05 erforderlich |
| Android 15 | Ja – Patch auf 2026-06-05 erforderlich |
| Android 16 / 16-QPR2 | Ja – Patch auf 2026-06-05 erforderlich |
Wie behebe ich das?
Das Ziel ist, den Android-Sicherheitspatch-Level auf 2026-06-05 oder neuer zu aktualisieren. Dieses Level schließt sämtliche 124 Schwachstellen des Juni-Bulletins einschließlich CVE-2025-48595.
- Google Pixel-Geräte: Das Update wird direkt über Google ausgerollt und steht ab dem 2. Juni 2026 über Einstellungen → System → Systemaktualisierung bereit.
- Andere Android-Geräte: Hersteller wie Samsung, Xiaomi oder Sony benötigen eigene Test- und Zertifizierungsphasen. Updates erscheinen typischerweise innerhalb weniger Wochen. Benachrichtigungen über ausstehende Systemupdates sollten nicht ignoriert werden.
- Unternehmen mit EMM/MDM: Der Update-Rollout kann über Mobile Device Management-Lösungen wie Microsoft Intune erzwungen oder überwacht werden. Wie die geräteweite Verwaltung von iPhones und iPads über Intune funktioniert, beschreibt unsere Anleitung iPhone und iPad mit Intune verwalten; die Grundprinzipien zur Zwei-Faktor-Absicherung mobiler Konten erläutert Zwei-Faktor-Authentifizierung einführen.
Solange kein Update verfügbar ist, empfiehlt sich als Übergangslösung, unbekannte Apps nicht zu installieren und den Gerätezugriff durch unbekannte Dritte zu unterbinden – da CVE-2025-48595 einen lokalen Angreifer voraussetzt.
Was bedeutet das für Unternehmen?
Für Unternehmen, die Android-Geräte im Einsatz haben – sei es im Rahmen von BYOD-Konzepten (Bring Your Own Device) oder als firmenverwaltete Geräte – ist schnelles Handeln geboten. Die CISA-Einstufung als KEV mit einer Behörden-Frist von nur drei Tagen unterstreicht die Schwere des Risikos.
Besonders gefährdet sind Mitarbeiter mit privilegiertem Netzwerkzugang: Gelingt es einem Angreifer, über CVE-2025-48595 auf einem Mobilgerät Root-Rechte zu erlangen, kann er gespeicherte VPN-Credentials, E-Mail-Konten oder Authentifizierungstoken auslesen und damit tiefer in die Unternehmensinfrastruktur eindringen. Die Kombination aus aktivem Einsatz und mutmaßlichem staatlichem oder Spyware-Hintergrund macht diese Angriffskampagne zu einem ernstzunehmenden Bedrohungsszenario, das weit über Opportunismus hinausgeht.
Empfohlene Sofortmaßnahmen für IT-Verantwortliche:
- Inventur aller verwalteten Android-Geräte und deren aktuellen Patch-Level per MDM/EMM.
- Update-Compliance-Richtlinie aktivieren: Geräte unterhalb von Patch-Level
2026-06-05vom Unternehmensnetz isolieren oder Zugriff einschränken. - BYOD-Nutzer aktiv informieren und Nachweis des Patch-Levels einfordern.
- Sicherheitsverantwortliche prüfen die CISA KEV-Liste regelmäßig auf neue Einträge.
Für eine weiterführende Absicherung des Unternehmenszugangs über mobile Geräte bietet sich zudem die Einrichtung eines Zero-Trust-konformen VPN an – grundlegende Konzepte dazu erläutert unsere Anleitung WireGuard-VPN für Homeoffice einrichten.
Quellen: BleepingComputer – Google fixes one actively exploited Android zero-day, 124 flaws (2. Juni 2026) | SOCRadar – CVE-2025-48595 June 2026 Android Security Update | Cyber Insider – Android June 2026 update patches actively exploited zero-day
