Mittlerer Handlungsbedarf Privates Umfeld

Dolby-Sicherheitslücke gefährdet Millionen Android-Geräte

Eine kritische Sicherheitslücke in einer weit verbreiteten Dolby-Audio-Komponente bedroht Android-Smartphones weltweit. Die Schwachstelle ermöglicht sogenannte Zero-Click-Angriffe: Bereits das Empfangen einer manipulierten Audiodatei kann ausreichen, um Schadcode auf einem Gerät auszuführen – ohne jegliche Nutzerinteraktion. Google hat Anfang Januar ein außerplanmäßiges Sicherheitsupdate veröffentlicht, um die Lücke zu schließen.

Angriff ohne Klick: Audioverarbeitung als Einfallstor

Die Schwachstelle betrifft die Verarbeitung von Dolby Digital Plus-Audiodaten im sogenannten Unified Decoder von Dolby. Android verarbeitet eingehende Audio-Nachrichten auf vielen Geräten automatisch im Hintergrund, unter anderem zur lokalen Transkription. Genau hier setzt der Angriff an: Eine manipulierte Sounddatei kann beim Dekodieren einen Speicherfehler verursachen.

Die Lücke wurde von Forschern des Google Project Zero entdeckt und bereits im Laufe des Jahres 2025 auch in anderen Plattformen wie Windows geschlossen. Für Android stand der Fix jedoch erst mit dem aktuellen Sicherheitspatch zur Verfügung.

CVE-2025-54957: Warum die Bewertung unterschiedlich ausfällt

Die Schwachstelle wird unter CVE-2025-54957 geführt. Technisch basiert sie auf einem Ganzzahlüberlauf, durch den ein Speicherpuffer falsch berechnet wird. In der Folge kann es zu Abstürzen kommen – und in vielen vergleichbaren Szenarien auch zur Ausführung von Schadcode.

Interessant ist die unterschiedliche Bewertung:

  • Dolby stufte die Lücke zunächst als mittel ein

  • Google bewertet sie für Android als kritisch

Der Grund liegt im Nutzungskontext: Da Android Audiodaten ohne Nutzerinteraktion verarbeitet, entsteht ein echter Zero-Click-Vektor. Genau dieser Aspekt erhöht das Risiko erheblich, auch wenn bislang keine aktiven Angriffe bekannt sind.

Patch verfügbar – aber nicht überall angekommen

Google hat den Fix in das Android-Sicherheitsupdate integriert. Geschützt sind Geräte mit einem Sicherheitspatch-Level vom 05.01.2026 oder neuer. Nutzer können diesen Stand direkt in den Systemeinstellungen prüfen.

Wie so oft zeigt sich jedoch die Fragmentierung des Android-Ökosystems als Schwachstelle: Während Google den Patch bereitstellt, müssen Gerätehersteller ihn erst anpassen und verteilen. Je nach Modell kann sich die Auslieferung verzögern – ein Zeitfenster, das Angreifer erfahrungsgemäß genau beobachten.

Beispiel für Risiken in der Software-Lieferkette

Der Vorfall verdeutlicht ein grundsätzliches Problem moderner Plattformen: Die Schwachstelle liegt nicht im Android-Kern, sondern in einer Drittanbieter-Komponente, die systemweit integriert ist. Solche Supply-Chain-Schwachstellen können Millionen Geräte verschiedener Hersteller gleichzeitig betreffen.

Auch wenn derzeit keine aktive Ausnutzung bekannt ist, gilt: Mit der Veröffentlichung des Patches beginnt erfahrungsgemäß ein Wettlauf gegen die Zeit. Sicherheitsexperten gehen davon aus, dass Angreifer versuchen werden, ungepatchte Geräte gezielt auszunutzen.

Handlungsempfehlungen
  • Kontrollieren Sie in den Geräteeinstellungen, ob der Android-Sicherheitspatch vom 05.01.2026 oder neuer installiert ist, und spielen Sie verfügbare Updates umgehend ein.
  • Aktivieren Sie automatische System- und Sicherheitsupdates, damit künftige Patches ohne Verzögerung installiert werden.
  • Falls Ihr Hersteller Updates zeitverzögert ausliefert, prüfen Sie regelmäßig manuell den Patch-Status oder informieren Sie sich über den Update-Support Ihres Gerätemodells.

Weitere Meldungen

15.04.2026
Niedriger Handlungsbedarf Privates Umfeld

Das sind die Gefahren kostenloser Streams

Die Formel 1 Saison hat begonnen und die Fußball-Weltmeisterschaft steht vor der Tür. Damit einher gehen mehr Suchanfragen nach "kostenlosen Streams" – Sicherheitsforscher warnen vor den Gefahren und zeigen, dass vermeintlich kostenlose Streaming-Websites auch monetären Zwecken dienen. Einzelne Streams sind nur über Plattformen zu erreichen Sicherheitsexperten von Bitdefender haben populäre

mehr erfahren
14.04.2026
Niedriger Handlungsbedarf Privates und Berufliches Umfeld

Datenpanne bei Basic-Fit: Bankdaten von rund einer Million Mitglieder abgeflossen

Europas größte Fitnesskette Basic-Fit hat am 13. April 2026 offiziell bestätigt, dass Angreifer sich unbefugt Zugang zu einem internen System verschafft haben. Betroffen sind Mitgliederdaten aus sechs Ländern: Deutschland, Niederlande, Belgien, Luxemburg, Frankreich und Spanien. Die Gesamtzahl der betroffenen Mitglieder liegt bei rund einer Million, davon allein etwa 200.000 in

mehr erfahren
14.04.2026
Niedriger Handlungsbedarf Privates und Berufliches Umfeld

Booking.com: Unbefugter Zugriff auf Buchungsdaten, PINs vorsorglich zurückgesetzt

Booking.com hat bestätigt, dass unbefugte Dritte Zugriff auf Buchungsdaten einer noch unbekannten Anzahl von Gästen erlangt haben. Das Unternehmen informiert betroffene Nutzer per E-Mail und hat die PIN-Codes der betroffenen Reservierungen vorsorglich geändert. Was ist passiert Laut Booking.com wurden bei dem Vorfall möglicherweise folgende Informationen abgerufen: Buchungsdetails, Name, E-Mail-Adresse, Postanschrift,

mehr erfahren
10.04.2026
Niedriger Handlungsbedarf Privates und Berufliches Umfeld

Hacker kapern Magento-Onlineshops und stehlen Kreditkartendaten

Wer einen Onlineshop auf Basis von Magento 2 betreibt, steht gerade unter direktem Beschuss. Eine seit mindestens 11 Jahren im Code schlummernde Schwachstelle namens PolyShell wird aktiv ausgenutzt, und ein neu entdeckter Web-Skimmer zapft in kompromittierten Shops bereits Zahlungsdaten von Kunden ab. Einen Patch für Produktivsysteme gibt es nicht. Die

mehr erfahren