Samsung hat eine aktiv ausgenutzte Zero‑Day‑Schwachstelle in Android geschlossen. Die Sicherheitslücke CVE‑2025‑21043 (CVSS: 8,8) betrifft Geräte mit Android 13 und neuer und ermöglicht Remote Code Execution (RCE) beim Verarbeiten präparierter Mediendateien. Laut Samsung wurde die Lücke bereits in zielgerichteten Angriffen missbraucht; erste Hinweise gingen am 13. August 2025 von Sicherheitsteams eines großen Plattformanbieters und eines populären Messengers ein.
Technischer Kern: Out-of-Bounds Write in Quramsofts libimagecodec.quram.so
Der Fehler sitzt in der proprietären Bildverarbeitungsbibliothek libimagecodec.quram.so des Anbieters Quramsoft. Es handelt sich um eine Out‑of‑Bounds‑Write-Schwachstelle, bei der Daten außerhalb des vorgesehenen Speicherbereichs geschrieben werden. Angreifer können dadurch die Ausführung beliebigen Codes im Kontext der betroffenen App erzwingen – ein typischer Einstiegspunkt für weitergehende Kompromittierungen.
Angriffsweg: Auslöser über Medieninhalte und Vorschaubilder
Die Ausnutzung erfolgt über die Parsing-Pipeline von Medieninhalten. Bereits das Rendern eines Vorschaubilds genügt, wenn die betroffene Bibliothek eingebunden ist. Besonders exponiert sind Messenger-Apps und andere Clients, die Quramsofts Codec nutzen. Samsung bestätigt die Existenz funktionierender Exploits; die Angriffskette kann über mehrere Apps hinweg greifen, sofern diese den anfälligen Decoder verwenden.
Einordnung: Verwandte Fixes bei Samsung, Apple und WhatsApp
Im Zuge der Untersuchungen wurden Ergebnisse mit Industriepartnern geteilt. Apple adressierte eine damit verknüpfte Schwachstelle CVE‑2025‑43300 im Vormonat. Samsung veröffentlichte ergänzend ein Update für SVE‑2025‑1702 und publizierte einen entsprechenden Security Bulletin. Zudem schloss WhatsApp Ende August eine weitere Zero‑Click-Schwachstelle CVE‑2025‑55177 für iOS und macOS, die Berichten zufolge in komplexen, zielgerichteten Angriffsketten mitgenutzt wurde. In Benachrichtigungen an Betroffene wurden Werksresets und konsequente Update‑Strategien empfohlen. Branchenmedien wie BleepingComputer erhielten bestätigende Hinweise aus Ermittlerkreisen.
Risikoanalyse: Warum Bild‑Code-Lücken besonders kritisch sind
Die hohe CVSS‑Bewertung spiegelt zwei Faktoren: remote erreichbare Angriffsoberfläche und Codeausführung ohne umfangreiche Nutzerinteraktion. Parser‑Fehler in Medien‑Codecs sind gefährlich, weil sie oft durch alltägliche Aktionen ausgelöst werden – etwa das Eintreffen einer Nachricht oder das Laden eines Thumbnails. Historisch zählen Media‑Codecs zu bevorzugten Zielen: So wurde 2023 die Render‑Kette rund um libwebp (CVE‑2023‑4863) breit ausgenutzt. Google Project Zero dokumentierte im selben Jahr 61 Zero‑Days in freier Wildbahn, viele davon in Drittanbieter‑Bibliotheken oder Rendering‑Stacks. Solche Lücken eignen sich für stille, präzise Angriffe gegen Journalisten, zivilgesellschaftliche Akteure und Unternehmensmitarbeiter mit sensiblen Zugriffsrechten.
Empfehlungen: Sofortmaßnahmen für Unternehmen und Endnutzer
System und Apps aktualisieren. Installieren Sie die jüngsten Firmware‑ und Sicherheitsupdates von Samsung. Prüfen Sie den Android Security Patch Level in den Einstellungen und gleichen Sie ihn mit dem neuesten für Ihr Modell verfügbaren Stand ab. Halten Sie Messenger‑ und Medien‑Apps aktuell.
Angriffsfläche reduzieren. Deaktivieren Sie in Messengern vorübergehend die automatische Medienübernahme (Auto‑Download/Auto‑Save), insbesondere auf unternehmenseigenen Geräten. Entfernen Sie selten genutzte oder redundante Clients, um die Codec‑Angriffsfläche zu verkleinern.
Härtung und Richtlinien. Unternehmen sollten MDM/EMM‑Richtlinien einsetzen, veraltete App‑Versionen blockieren und Updates erzwingen. Aktivieren Sie Exploit‑Mitigation‑Funktionen, wo verfügbar, und achten Sie auf Telemetrie aus Mobile‑Threat‑Defense‑Lösungen.
Überwachung und Incident Response. Achten Sie auf Anzeichen wie wiederholte App‑Abstürze beim Medienrendering, unerklärliche Reboots oder erhöhte Netzaktivität. Bei Verdacht: Gerät isolieren, Sicherung erstellen und bei Bedarf Werksreset mit Wiederherstellung aus einer vertrauenswürdigen Backup‑Quelle durchführen. Dokumentieren Sie Artefakte für eine forensische Auswertung.
Angriffe beginnen häufig mit dem Parsing von Mediendaten und werden durch weitere Zero‑Days eskaliert. Wer jetzt zügig patcht, Auto‑Downloads einschränkt und klare Betriebsdisziplin etabliert, senkt das Risiko signifikant. Prüfen Sie noch heute den Patch‑Stand Ihres Samsung‑Smartphones und aktualisieren Sie zentrale Messenger auf die neuesten Versionen.
