Google hat das Android Sicherheitsupdate fuer Dezember 2025 veroeffentlicht und darin 107 Schwachstellen mit unterschiedlicher Kritikalitaet behoben. Besonders kritisch sind zwei 0‑Day-Sicherheitsluecken mit den Kennungen CVE-2025-48633 und CVE-2025-48572, die laut Google bereits in gezielten Angriffen auf reale Nutzer ausgenutzt werden.
Android Sicherheitsupdate Dezember 2025: Umfang und betroffene Versionen
Wie ueblich ist das Patch-Paket in zwei Security Patch Levels aufgeteilt: 2025-12-01 und 2025-12-05. Der Patch-Level 2025-12-01 adressiert 51 Schwachstellen im Android Framework und in Systemkomponenten. Der Patch-Level 2025-12-05 schliesst zusaetzlich 56 Sicherheitsluecken im Kernel und in proprietaeren Komponenten von Chip-Herstellern.
Betroffen sind Geraete mit Android 13 bis Android 16. Damit reicht das Spektrum von noch weit verbreiteten aelteren Smartphones bis hin zu aktuellen High-End-Modellen – inklusive zahlreicher Unternehmens- und BYOD-Geraete, die in sensiblen Umgebungen eingesetzt werden.
Aktiv ausgenutzte 0-Day-Luecken CVE-2025-48633 und CVE-2025-48572
0-Day-Luecken sind Schwachstellen, fuer die zum Zeitpunkt der ersten Ausnutzung kein Patch verfuegbar ist. Angreifer koennen sie also ausnutzen, bevor Hersteller und Nutzer reagieren koennen. Im Dezember-Update meldet Google zwei solche Faelle, die bereits in gezielten Angriffskampagnen beobachtet wurden.
CVE-2025-48633: Unautorisierter Zugriff auf vertrauliche Daten
Die Schwachstelle CVE-2025-48633 fuehrt zu einem Information Disclosure, also zur unbefugten Offenlegung von Daten. In der Praxis koennen Angreifer dadurch Speicherbereiche auslesen und etwa personenbezogene Informationen, App-Daten, Sitzungstoken oder kryptografische Artefakte abgreifen. Solche Informationen werden haeufig genutzt, um weitere Schritte in einer Angriffskette vorzubereiten, etwa das Uebernehmen von Konten oder das Umgehen von Multi-Faktor-Authentifizierung.
CVE-2025-48572: Privilegienerweiterung und Ausbruch aus der App-Sandbox
Die 0-Day-Luecke CVE-2025-48572 ist eine klassische Elevation of Privilege (EoP). Sie ermoeglicht es einem Angreifer, seine Rechte auf Systemebene zu erweitern. Typischerweise wird ein solcher Fehler genutzt, um aus der eigentlich geschuetzten App-Sandbox auszubrechen und nahezu systemaehnliche Privilegien zu erlangen. Damit werden Szenarien moeglich wie die unbemerkte Installation von Spionage-Software, Manipulation von Sicherheitseinstellungen oder das Abfangen von Kommunikationsdaten.
Google gibt an, dass beide 0-Day-Schwachstellen in limitierten, zielgerichteten Kampagnen genutzt wurden. Details zu Exploits werden aus Sicherheitsgruenden nicht veroeffentlicht. Vergangene Faelle – etwa die missbraeuchliche Nutzung von 0-Day-Ketten durch kommerzielle Spyware-Anbieter oder staatlich gesteuerte Gruppen – zeigen jedoch, dass solche Luecken vor allem in High-Value-Zielen wie Politik, Journalismus und Ruestungs- oder Energiebranche eingesetzt werden.
Weitere kritische Android-Sicherheitsluecken im Dezember-Patch
Neben den beiden 0-Day-Luecken behebt das Android Sicherheitsupdate Dezember 2025 weitere kritische Schwachstellen. Hervorzuheben ist CVE-2025-48631 im Android Framework, die zu einem Denial of Service (DoS) fuehren kann. Angreifer koennen dadurch gezielt Systemprozesse oder Dienste zum Absturz bringen, was insbesondere in Unternehmensumgebungen und industriellen IoT-Szenarien betriebsrelevante Ausfaelle verursachen kann.
Im Android-Kernel wurden mindestens vier gravierende Privilege-Escalation-Luecken in den Subsystemen Pkvm und UOMMU behoben. Diese Komponenten sind fuer Virtualisierung und Speicherverwaltung zustandig. Eine Kompromittierung kann die Isolation zwischen Prozessen und virtuellen Maschinen aushebeln und damit Sicherheitsgarantien auf Kernel-Ebene unterlaufen.
Besonders sicherheitsrelevant sind zudem zwei kritische Schwachstellen in Qualcomm-Chipsaetzen mit den Kennungen CVE-2025-47319 und CVE-2025-47372. Angriffsvektoren in proprietaeren Treibern oder Modem-Firmwares gelten als attraktiv, weil sie oft in hochprivilegierten Kontexten ausgefuehrt werden und damit viele Android-Schutzmechanismen umgehen koennen. Weitere Details zu diesen und zu Schwachstellen in MediaTek- und anderen Komponenten sind in den separaten Sicherheitsbulletins der Hersteller dokumentiert.
Implikationen fuer Nutzer, Unternehmen und Mobile-Security-Strategien
0-Day-Exploits im Android-Umfeld werden typischerweise in hochwertigen, zielgerichteten Angriffen eingesetzt, die einen erheblichen finanziellen und organisatorischen Aufwand erfordern. Historische Beispiele, etwa rund um bekannte Spyware-Plattformen, verdeutlichen jedoch, dass entsprechende Exploits mit der Zeit in die Cybercrime-Oekonomie abwandern und spaeter auch in breiteren Kampagnen verwendet werden.
Fuer Privatanwender wie auch fuer Unternehmen bleibt daher der wichtigste Schritt: Sicherheitsupdates so frueh wie moeglich einspielen. Selbst wenn die aktuell geschlossenen 0-Day-Luecken primaer in begrenzten Szenarien genutzt werden, erhoeht jede Verzoegerung beim Patchen das Risiko, Teil der naechsten Angriffswelle zu werden – insbesondere, wenn Exploit-Code oeffentlich wird oder in Angriffstools integriert wird.
Als praxisnahe Massnahmen empfehlen sich: regelmaessige Pruefung auf Android- und Firmware-Updates, bevorzugter Einsatz von Geraeten mit verlaesslichen Langzeit-Sicherheitszusagen, der Einsatz von MDM/EMM-Loesungen in Organisationen zur zentralen Verteilung von Patches sowie eine strikte Reduzierung von Apps aus inoffiziellen Quellen. In Kombination mit grundlegenden Mobile-Security-Richtlinien – etwa geringsten notwendigen Rechten fuer Apps, Härtung der Konfiguration und Sensibilisierung der Nutzer – bleibt eine konsistente Update-Strategie das wirkungsvollste Mittel, um die Risiken durch Android-0-Day-Luecken und andere Schwachstellen nachhaltig zu minimieren.
