Besitzer von noch im Support befindlichen Android-Smartphones oder -Tablets sollten ihre Geräte aus Sicherheitsgründen auf den aktuellen Stand bringen. Geschieht das nicht, können Angreifer Schwachstellen ausnutzen und Geräte kompromittieren.
Wie aus einer Warnmeldung hervorgeht, haben die Entwickler an diesem Patchday lediglich zwei System-Sicherheitslücken (CVE-2025-48593 "kritisch", CVE-2025-48581 "hoch") geschlossen. Die kritische Lücke betrifft Android 13, 14, 15 und 16. Darüber können entfernte Angreifer Schadcode auf Geräte schieben und ausführen. Dafür benötigen Angreifer Googles Beschreibung zufolge keine besonderen Rechte und sind nicht auf die Interaktion von Opfern angewiesen. Wie so ein Angriff im Detail ablaufen könnten, bleibt aber bislang unklar.
Die zweite Schwachstelle betrifft ausschließlich Android 16. An dieser Stelle können sich Angreifer höhere Nutzerrechte verschaffen. Für beide Fälle gibt es zurzeit keine Berichte zu laufenden Attacken. Besitzer von Androidgeräten sollten trotzdem dafür sorgen, dass sie die aktuellen Sicherheitsupdates installiert haben.
Die Entwickler versichern, die beiden Sicherheitslücken im Patch Level 2025-11-01 geschlossen zu haben. Das installierte Patch Level kann man in den Systemeinstellungen prüfen. Neben Google veröffentlicht unter anderem auch Samsung für ausgewählte Smartphones monatlich Sicherheitsupdates (siehe Kasten).
Im Oktober gab es zwar einen Eintrag zu neuen Android-Sicherheitspatches, doch darin wurden keine konkreten Sicherheitslücken aufgelistet. Am Patchday im September dieses Jahres haben Angreifer Lücken bereits ausgenutzt.
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo