Dolby-Lücke in Android: Kritische Audio-Schwachstelle gepatcht

Google schließt eine kritische Sicherheitslücke im weit verbreiteten Dolby Audio-Decoder. Der Fehler hätte Angreifern über manipulierte Audiodateien die Kontrolle über Android-Geräte verschaffen können – teils ohne Nutzerinteraktion.

Zero-Click-Gefahr durch Audio-Dateien

Die als CVE-2025-54957 identifizierte Schwachstelle steckte im Dolby Digital Plus (DD+) Unified Decoder. Diese Software-Komponente verarbeitet hochwertiges Audio für zahlreiche Apps und Streaming-Dienste. Der konkrete Fehler: ein “Out-of-Bounds Write” durch einen Ganzzahlüberlauf.

Das Risiko für Android war besonders hoch. Der Grund: Das System dekodiert Audio-Anhänge in Nachrichten oft automatisch im Hintergrund – etwa für Vorschaufunktionen. Ein Nutzer musste eine schädliche Datei daher nicht einmal aktiv öffnen. Ein Empfang über eine RCS-Nachricht galt als potenzieller Angriffsweg.

Zero-Click-Schwachstellen wie die jüngste Dolby-Lücke zeigen, wie wichtig eine sichere Android-Grundkonfiguration ist. Der kostenlose PDF-Ratgeber „Android Smartphone – Ihr Schritt-für-Schritt-Training“ plus ein 5-teiliges E-Mail-Grundkurs erklärt in klarem Deutsch, welche Einstellungen Sie sofort prüfen sollten (automatische Systemupdates, Play Protect, Nachrichten‑Vorschauen) und wie Sie Ihr Gerät sicher nutzen — ideal für Einsteiger und Senioren. Jetzt kostenlosen Android-Guide und E-Mail-Kurs sichern

Vom Fund zum Patch: Eine Chronologie

Googles Sicherheitsforscher entdeckten die Lücke bereits im Juni 2025 und meldeten sie an Dolby. Während Dolby das Risiko zunächst als “mittel” einstufte, sah Google Gefahr: Die Kombination mit anderen Schwachstellen und das Zero-Click-Potenzial machten den Fehler für Android kritisch.

Nach dieser Bewertung und der Veröffentlichung technischer Details im Oktober rollte Google den Patch nun aus:
* Dezember 2025: Pixel-Smartphones erhalten den Schutz.
* Januar 2026: Das Android-Sicherheitsupdate mit Patch-Level 2026-01-05 schließt die Lücke für alle Geräte.

Codecs: Das ewige Sicherheitsproblem

Der Vorfall zeigt ein bekanntes Muster: Komplexe Multimedia-Codecs sind ein beliebtes Angriffsziel. Sie bieten oft einen direkten Weg ins System – mit weitreichenden Rechten.

Für Android bleibt die Fragmentierung des Ökosystems ein Problem. Google liefert die Patches zwar monatlich aus. Doch ob und wann sie auf dem eigenen Gerät ankommen, hängt vom Hersteller ab. Das kann Wochen dauern und ein gefährliches Zeitfenster für Angriffe öffnen.

Das können Nutzer jetzt tun

Der wichtigste Schritt ist die sofortige Installation des aktuellen Sicherheitsupdates. Überprüfen lässt sich der Patch-Level in den Einstellungen unter “Über das Telefon”. Ein Datum vom 5. Januar 2026 oder neuer bedeutet Schutz.

Zusätzliche Sicherheit bieten:
* Aktivierte automatische Systemupdates
* Google Play Protect, das standardmäßig nach schädlichen Apps sucht