01. Juni 2026 — Google hat das Android-Sicherheitsbulletin für Juni 2026 veröffentlicht. Das Update schließt eine ungewöhnlich hohe Zahl kritischer Schwachstellen – darunter Lücken, die ohne jede Nutzerinteraktion ausnutzbar sind.
Framework: Remote-Rechteausweitung ohne Nutzerinteraktion
Der gravierendste Fund betrifft das Android-Framework. CVE-2025-65018 ermöglicht eine Rechteausweitung aus der Ferne (EoP, kritisch) – ganz ohne Nutzerinteraktion und ohne zusätzliche Berechtigungen. Betroffen sind Android 14, 15, 16 und 16-QPR2.
Ebenfalls kritisch: CVE-2025-64720 kann zu einem Denial-of-Service (DoS) unter denselben Bedingungen führen. Insgesamt listet das Framework über 30 Schwachstellen, die überwiegende Mehrheit davon als Hoch eingestuft – hauptsächlich Rechteausweitungen und Informationslecks.
System-Komponente: Neun kritische DoS-Lücken auf einmal
Noch umfangreicher fällt der Systembaustein aus. Neben vier kritischen EoP-Lücken (u. a. CVE-2026-0043, CVE-2026-21352/21353) listet das Bulletin neun separate kritische DoS-Schwachstellen – darunter CVE-2026-0039 bis CVE-2026-0044, CVE-2026-0051/0052 und CVE-2026-0080. Alle betreffen Android 14 bis 16 und sind ohne Nutzerinteraktion ausnutzbar.
Hinzu kommt CVE-2026-0059 – eine Remote Code Execution-Lücke (Hoch) im Systembereich, die eine vollständige Kompromittierung aus der Ferne ermöglicht.
Qualcomm Closed-Source: Drei kritische Komponenten
Besondere Aufmerksamkeit verdienen die Qualcomm-Closed-Source-Komponenten im 05.06.-Level: CVE-2025-47392, CVE-2026-25276 und CVE-2026-25277 sind alle als kritisch eingestuft. Details nennt Qualcomm ausschließlich in seinem eigenen Bulletin – die Patches stecken in den proprietären Binärtreibern für Pixel-Geräte.
Chiphersteller im Fokus
Neben Qualcomm sind auch MediaTek (11 Lücken, u. a. im Modem und der Geniezone-Komponente), Unisoc (16 Modem-Lücken) sowie Imagination Technologies (3 PowerVR-GPU-Lücken) betroffen – sämtlich mit Schweregrad Hoch.
Was Nutzer jetzt tun sollten
Unter Einstellungen → Sicherheit → Sicherheits-Patch-Level lässt sich prüfen, welcher Stand auf dem Gerät installiert ist. Wer 2026-06-05 oder höher sieht, ist vollständig abgesichert. Angesichts der kritischen Remote-Lücken ohne Nutzerinteraktion sollte das Update nicht aufgeschoben werden – insbesondere auf Geräten, die beruflich genutzt werden oder Zugang zu sensiblen Daten haben.
