Ab 2026 werden wir den Quellcode im 2. und 4. Quartal in AOSP veröffentlichen, um unser trunk-stable-Entwicklungsmodell zu unterstützen und die Plattformstabilität für das Ökosystem zu gewährleisten. Für die Entwicklung und das Beitragen zu AOSP empfehlen wir die Verwendung von android-latest-release anstelle von aosp-main. Der Manifestzweig android-latest-release verweist immer auf das neueste Release, das an AOSP übertragen wurde. Weitere Informationen finden Sie unter Änderungen an AOSP.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Sicherheitsbulletin für Android – Mai 2026

Veröffentlicht am 4. Mai 2026 | Aktualisiert am 7. Mai 2026

Dieses Sicherheitsbulletin für Android enthält Details zu Sicherheitslücken, die Android-Geräte betreffen. Sicherheitspatch-Levels ab 01.05.2026 beheben alle diese Probleme. Informationen dazu, wie Sie den Sicherheitspatch-Level eines Geräts prüfen, finden Sie unter Android-Version ermitteln und aktualisieren.

Innerhalb von 48 Stunden nach der Erstveröffentlichung dieses Bulletins stellen wir die entsprechenden Quellcode-Patches im Open-Source-Projekt für Android (AOSP)-Repository zur Verfügung. Anschließend aktualisieren wir dieses Bulletin mit den AOSP-Links.

Das Problem in diesem Bulletin ist eine kritische Sicherheitslücke in der Systemkomponente, die zu einer Codeausführung per Fernzugriff (proximal/adjacent) als Shell-Nutzer führen kann, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind. Für die Ausnutzung ist keine Nutzerinteraktion erforderlich. Die Schweregradbewertung basiert auf den möglichen Auswirkungen der Ausnutzung der Sicherheitslücke auf ein betroffenes Gerät, wobei davon ausgegangen wird, dass die Plattform- und Dienst mitigationen für Entwicklungszwecke deaktiviert oder erfolgreich umgangen wurden.

Weitere Informationen zu den Schutzmaßnahmen der Android-Sicherheitsplattform und zu Google Play Protect, die die Sicherheit der Android-Plattform verbessern, finden Sie im Abschnitt Mitigationen für Android und Google Play Protect.

Wir informieren unsere Android-Partner mindestens einen Monat vor der Veröffentlichung des Bulletins über alle Probleme.

Mitigationen für Android und Google-Dienste

Dies ist eine Zusammenfassung der Mitigationen, die von der Android-Sicherheitsplattform und den Dienst schutzmaßnahmen wie Google Play Protect bereitgestellt werden. Diese Funktionen verringern die Wahrscheinlichkeit, dass Sicherheitslücken auf Android erfolgreich ausgenutzt werden können.

Die Ausnutzung vieler Probleme auf Android wird durch Verbesserungen in neueren Versionen der Android-Plattform erschwert. Wir empfehlen allen Nutzern nach Möglichkeit auf die neueste Android-Version zu aktualisieren.
Das Android-Sicherheitsteam überwacht aktiv den Missbrauch durch Google Play Protect und warnt Nutzer vor potenziell schädlichen Apps. Google Play Protect ist auf Geräten mit Google Mobile Diensten standardmäßig aktiviert und besonders wichtig für Nutzer, die Apps außerhalb von Google Play installieren.

Details zu Sicherheitslücken im Sicherheitspatch-Level vom 01.05.2026

In den folgenden Abschnitten finden Sie Details zu den einzelnen Sicherheits lücken, die für den Patch-Level vom 01.05.2026 gelten. Sicherheitslücken werden nach der Komponente gruppiert, die sie betreffen. Die Probleme werden in den folgenden Tabellen beschrieben und enthalten die CVE-ID, zugehörige Referenzen, die Art der Sicherheitslücke, den Schweregrad, und die aktualisierten AOSP-Versionen (sofern zutreffend). Wenn verfügbar, verknüpfen wir die öffentliche Änderung (z. B. die AOSP-Änderungsliste), mit der das Problem behoben wurde, mit der Bug-ID. Wenn sich mehrere Änderungen auf denselben Bug beziehen, werden nach der Bug-ID anklickbare Ziffern zu zusätzlichen Referenzen angegeben. Auf Geräten mit Android 10 und höher können Sicherheitsupdates sowie Google Play Systemupdates installiert werden.

System

Die Sicherheitslücke in diesem Abschnitt kann zu einer Codeausführung per Fernzugriff (proximal/adjacent) als Shell-Nutzer führen, ohne dass zusätzliche Ausführungsberechtigungen erforderlich sind. Für die Ausnutzung ist keine Nutzerinteraktion erforderlich.

CVE	Verweise	Art	Schweregrad	Aktualisierte AOSP-Versionen
CVE-2026-0073	A-469080888	RCE	Kritisch	14, 15, 16, 16-qpr2

Google Play-Systemupdates

Die folgenden Probleme sind in den Project Mainline-Komponenten enthalten.

Unterkomponente	CVE
adbd	CVE-2026-0073

Antworten auf häufig gestellte Fragen

In diesem Abschnitt werden häufig gestellte Fragen beantwortet, die nach dem Lesen dieses Bulletins auftreten können.

1. Wie finde ich heraus, ob mein Gerät entsprechend aktualisiert wurde?

Informationen dazu, wie Sie den Sicherheitspatch-Level eines Geräts prüfen, finden Sie unter Android-Version ermitteln und aktualisieren.

Sicherheitspatch-Levels ab 01.05.2026 beheben alle Probleme, die mit dem Sicherheitspatch-Level vom 01.05.2026 zusammenhängen.

Gerätehersteller, die diese Updates einbeziehen, sollten den Patch-String-Level auf Folgendes festlegen:

[ro.build.version.security_patch]:[2026-05-01]

Auf einigen Geräten mit Android 10 oder höher hat das Google Play-Systemupdate einen Datumsstring, der mit dem Sicherheitspatch-Level vom 01.05.2026 übereinstimmt. Weitere Informationen zum Installieren von Sicherheitsupdates finden Sie in diesem Artikel.

2. Warum enthält dieses Bulletin zwei Sicherheitspatch-Levels?

Dieses Bulletin enthält zwei Sicherheitspatch-Levels, damit Android-Partner eine Teilmenge von Sicherheitslücken, die auf allen Android-Geräten ähnlich sind, schneller beheben können. Android-Partner sollten alle Probleme in diesem Bulletin beheben und den neuesten Sicherheitspatch-Level verwenden.

Geräte, die den Sicherheitspatch-Level vom 01.05.2026 verwenden, müssen alle Probleme beheben, die mit diesem Sicherheitspatch-Level zusammenhängen, sowie alle Probleme, die in früheren Sicherheitsbulletins gemeldet wurden.

Partner sollten die Korrekturen für alle Probleme, die sie beheben, in einem einzigen Update bündeln.

3. Was bedeuten die Einträge in der Spalte Art?

Einträge in der Spalte Art beziehen sich auf die Klassifizierung der Sicherheitslücke.

Abkürzung	Definition
RCE	Codeausführung per Fernzugriff
EoP	Rechteausweitung
ID	Offenlegung von Informationen
DoS	Denial of Service
–	Keine Klassifizierung verfügbar

4. Was bedeuten die Einträge in der Spalte Verweise?

Einträge in der Spalte Verweise der Tabelle mit den Details zu Sicherheitslücken können ein Präfix zur Angabe der Organisation enthalten, zu der der Referenzwert gehört.

Präfix	Referenz
A-	Android-Bug-ID
QC-	Qualcomm-Referenznummer
M-	MediaTek-Referenznummer
N-	NVIDIA-Referenznummer
B-	Broadcom-Referenznummer
U-	UNISOC-Referenznummer

5. Was bedeutet ein Sternchen (*) neben der Android-Bug-ID in der Spalte Verweise?

Probleme, die nicht öffentlich einsehbar sind, haben neben der entsprechenden Referenz-ID ein Sternchen (*). Das Update für dieses Problem ist in der Regel in den neuesten binären Treibern für Pixel-Geräte enthalten, die auf der Google Developers-Website verfügbar sind.

6. Warum werden die Informationen zu Sicherheitslücken zwischen diesem Bulletin und Geräte-/Partner-Sicherheitsbulletins wie dem Pixel-Bulletin aufgeteilt?

Die Sicherheitslücken, die in diesem Sicherheitsbulletin dokumentiert sind, sind erforderlich, um den neuesten Sicherheitspatch-Level auf Android-Geräten zu deklarieren. Zusätzliche Sicherheitslücken, die in den Geräte-/Partner-Sicherheitsbulletins dokumentiert sind, sind für die Deklaration eines Sicherheitspatch-Levels nicht erforderlich. Hersteller von Android-Geräten und Chipsets können auch Details zu Sicherheitslücken veröffentlichen, die speziell für ihre Produkte gelten, z. B. Google, Huawei, LGE, Motorola, Nokia oder Samsung.

Versionen

Version	Datum	Hinweise
1.0	4. Mai 2026	Bulletin veröffentlicht
1.1	7. Mai 2026	AOSP-Links hinzugefügt

Sicherheitsbulletin für Android – Mai 2026 Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.