Google patcht kritische RCE-Lücke in Android

Zusammenfassung

Google hat ein Android-Update veröffentlicht, das eine als kritisch eingestufte Schwachstelle für Remote-Code-Ausführung beseitigt. Die Lücke wird unter der Kennung CVE-2026-0073 geführt und betrifft die System-Komponente von Android. Laut der Sicherheitsmeldung kann ein Angreifer dadurch Code mit den Rechten des Shell-Benutzers ausführen, ohne dafür zusätzliche Ausführungsrechte zu benötigen. Eine Interaktion der Nutzer ist für eine Ausnutzung nicht erforderlich, was die Schwere der Lücke unterstreicht. Betroffen ist konkret „adbd", der Hintergrunddienst der Android Debug Bridge. Dieser Prozess läuft auf Android-Geräten und steuert die Kommunikation zwischen dem Gerät und einem Computer; er ermöglicht das Debugging sowie den Shell-Zugriff. Google weist zugleich darauf hin, dass es in diesem Monat keine Patches für Wear OS, Pixel Watch, Android XR und Android Automotive gibt. Hinweise darauf, dass CVE-2026-0073 bereits für Angriffe missbraucht wurde, liegen nicht vor. Es ist die einzige in diesem Jahr gepatchte Android-Schwachstelle, die als kritisch hervorgehoben wird, während nur eine einzige in diesem Jahr behobene Lücke als aktiv ausgenutzt markiert war.

Die nun geschlossene Schwachstelle CVE-2026-0073 erlaubt es einem Angreifer, aus der Ferne Code auszuführen. Sie sitzt in der System-Komponente von Android und ermöglicht die Codeausführung mit den Rechten des Shell-Benutzers – ohne dass zusätzliche Ausführungsrechte nötig wären. Besonders kritisch: Für eine erfolgreiche Ausnutzung ist keinerlei Mitwirkung der Nutzer erforderlich.

Im Zentrum steht laut der Sicherheitsmeldung der Dienst „adbd", der Daemon der Android Debug Bridge. Dieser Hintergrundprozess verwaltet auf Android-Geräten die Kommunikation mit einem angeschlossenen Computer und stellt Funktionen für Debugging und Shell-Zugriff bereit.

Nicht alle Plattformen erhalten in diesem Monat Aktualisierungen: Google teilte mit, dass für Wear OS, Pixel Watch, Android XR und Android Automotive keine Patches veröffentlicht wurden.

Anzeichen für eine Ausnutzung von CVE-2026-0073 in echten Angriffen gibt es nach derzeitigem Stand nicht. In diesem Jahr wurde überhaupt nur eine einzige gepatchte Android-Schwachstelle als aktiv ausgenutzt eingestuft. Im Vorjahr sah die Lage anders aus: Damals wurden mehrere Lücken in Angriffen missbraucht, darunter CVE-2024-43093, CVE-2024-50302, CVE-2025-27038, CVE-2025-48543 und CVE-2025-38352.

Parallel dazu hat Google die maximalen Prämien seines Bug-Bounty-Programms für Android-Geräteschwachstellen deutlich angehoben. Für einen Zero-Click-Exploit gegen den Pixel-Sicherheitschip Titan M, der zudem Persistenz erreicht, zahlt der Konzern künftig bis zu 1,5 Millionen US-Dollar.

Google patcht kritische RCE-Lücke in Android

Ähnliche Artikel

Neueste Artikel