Einmal im Monat landet Googles Android-Sicherheitspaket im Benachrichtigungsfeld, und für viele ist das der Moment, auf „Später“ zu tippen. Der Juni-Patchday gibt dafür wenig Spielraum: 18 kritisch eingestufte Lücken über drei Systemebenen, dazu Patches für Chips von vier verschiedenen Herstellern. Dass noch kein aktiver Exploit dokumentiert ist — das klingt zunächst beruhigend. Ist es nicht.
System, Framework, Kernel: drei Ebenen, mehrere Hersteller
Das Update gilt für Android 14, 15, 16 und das Maintenance-Release 16-qpr2. System-Level-Lücken erlauben Rechteerweiterung und Denial-of-Service-Angriffe; im Framework stecken CVE-2025-65018 und CVE-2025-64720, die unbefugte Zugriffe auf Konto- und Gerätedaten ermöglichen. CVE-2026-0043 geht in dieselbe Richtung — Privilege Escalation, also das Erhöhen von Rechten über das erlaubte Maß hinaus. CVE-2026-64505 ermöglicht gezielte Abstürze per Denial-of-Service. Im Kernel sitzt CVE-2025-40214, vorerst als „high“ klassifiziert, nicht als kritisch. Erfahrungsgemäß sind Kernel-Bugs die Lücken, auf die Exploit-Entwickler zuerst zielen, weil die Hebelwirkung am größten ist.
Neben den Google-eigenen Patches gibt es Korrekturen für Chips von Qualcomm, MediaTek, Unisoc und Imagination Technologies — abgedeckt durch das Patch-Level 2026-06-05. Pixel-Geräte, neuere Galaxy-Modelle und ausgewählte Honor-Serien bekommen die Updates am schnellsten. Was davon wann bei anderen Herstellern ankommt, hängt vom jeweiligen Vertriebskanal und Support-Zeitplan ab.
Das Bulletin ist die Anleitung — und der Exploit folgt
Sobald Google das Security Bulletin veröffentlicht, weiß jeder interessierte Angreifer, wo er suchen soll. Reverse Engineering auf Basis einer CVE-Beschreibung braucht kein Insiderwissen — die öffentliche Lücken-Dokumentation ist Einstiegspunkt genug. Zwischen Bulletin und erstem dokumentierten Exploit vergehen bei Android-Lücken dieser Kategorie typischerweise Tage, selten mehr als wenige Wochen.
Für IT-Betriebe, die Firmen-Smartphones mitbetreuen: Genau dort hakt es häufig. Privat-Handys bekommen das Update, weil der Nutzer irgendwann bestätigt. Firmengeräte hingegen hängen an MDM-Richtlinien, Hersteller-Zeitplänen und Support-Fenstern — und in der Schnittmenge aus „Android 14, Mittelklasse-Hersteller, kein Enterprise-Vertrag“ sitzt oft genau das Gerät, das das Patch-Level 2026-06-05 vielleicht nie erreicht. Auf dem liegen Unternehmens-Mails, VPN-Credentials und 2FA-Codes.
Das eigentliche Problem bei Android-Security ist nicht Google. Die Patches kommen monatlich, pünktlich, mit vollständiger CVE-Dokumentation. Das Problem ist die Kette dahinter: Chip-Hersteller, Gerätebauer, Carrier-Varianten, MDM-Rollout. Wer Firmen-Smartphones ohne dokumentierte Update-Richtlinie betreibt, sollte den Juni-Patchday als Anlass nehmen, das zu ändern — und nicht abwarten, bis eine der 18 Lücken in einer aktiven Angriffskampagne auftaucht.
