Eine gravierende Sicherheitslücke im Dolby Unified Decoder macht derzeit Schlagzeilen: Angreifer können sie ohne jegliche Interaktion des Nutzers ausnutzen – ein klassischer Zero-Click-Exploit. Der Vorfall betrifft mehrere Betriebssysteme gleichzeitig und stellt Sicherheitsverantwortliche weltweit vor eine große Herausforderung.
Was ist passiert? – Die Schwachstelle im Dolby Unified Decoder
Im September 2025 wurde eine kritische Schwachstelle im Dolby Unified Decoder öffentlich gemacht. Dieser ist in vielen Android-, iOS-, macOS- und Windows-Systemen tief integriert, da er für die Dekodierung von Dolby-Audioformaten zuständig ist. Die Sicherheitslücke – CVE-2025-38121 – ermöglicht es Angreifern, über präparierte Mediendateien, insbesondere MP4-Container mit Dolby-Audio-Tracks, Schadcode einzuschleusen. Besonders beunruhigend: Die Ausführung erfolgt ohne Nutzerinteraktion – ein sogenannter „Zero-Click-Exploit“.
Die Lücke basiert auf einem Heap-basierenden Buffer Overflow beim Parsen bestimmter Dolby-Audio-Metadaten. Sicherheitsforscher von Zimperium und der ETH Zürich wiesen unabhängig voneinander nach, dass sich die Schwachstelle ausnutzen lässt, ohne dass der Nutzer eine Datei aktiv öffnet – das reine Empfangen reicht aus, etwa über Messaging-Dienste oder E-Mail-Vorschauen.
Welche Systeme sind betroffen?
Da der Dolby Unified Decoder nicht nur zentral in mobilen Betriebssystemen, sondern auch in mediazentrierten Desktop-Anwendungen wie iTunes (macOS/Windows), Windows Media Player und Drittanbieter-Apps eingebettet ist, ist der Kreis betroffener Systeme groß:
- Android: Betroffen sind vor allem Geräte mit Dolby Atmos oder Dolby Vision Support, insbesondere von Herstellern wie Samsung, Xiaomi, Oppo und OnePlus. Auch in Googles AOSP-Paket findet sich der Decoder bei bestimmten Modellen.
- iOS und macOS: Apple nutzt Dolby-Technologien in der Wiedergabeinfrastruktur (Core Audio und AVFoundation). Besonders betroffen sind Geräte mit Dolby Vision-kompatibler Hardware und Apps wie iMessage und Safari-Videovorschau.
- Windows: Vor allem Windows 10 und 11 Nutzer mit installierten Dolby Audio-Diensten oder Dolby Access-Apps sind angreifbar. Die Integration in OEM-Treiber (Lenovo, HP, Dell) erschwert eine zentrale Aktualisierung.
Microsoft, Apple und Google haben mittlerweile reagiert, jedoch mit unterschiedlichen Geschwindigkeiten.
Reaktionen der Plattformbetreiber und Patches
Nach dem öffentlichen Advisory von Dolby am 27. September 2025 haben die betroffenen Plattformanbieter binnen zwei Wochen Updates ausgeliefert. Apple veröffentlichte mit iOS 18.1 und macOS 14.1 ein Sicherheitsupdate, das die betroffenen Bibliotheken ersetzt. Google schloss die Lücke im Oktober-Sicherheits-Update für Android. Microsoft stellte über den regulären Patch Tuesday im Oktober 2025 ein Update für Windows 10/11 bereit. Problematisch bleibt allerdings die Fragmentierung bei Android: Laut einer Studie der University of Cambridge aus dem Jahr 2023 erhielten weniger als 60% der Android-Geräte kritische Sicherheitspatches innerhalb der ersten 60 Tage nach Veröffentlichung. Dieses Muster zeigt sich auch bei dieser Lücke.
Besonders OEM-basierte Dolby-Implementierungen können nicht einfach über das Google-Framework gepatcht werden. Dementsprechend kursieren derzeit trotz verfügbarer Patches zahlreiche verwundbare Systeme im Umlauf – ein ideales Einfallstor für gezielte Angriffe.
Zero-Click-Angriffe: Warum sie so gefährlich sind
Zero-Click-Exploits gelten in der Cybersecurity als Königsdisziplin – und als Albtraum aller IT-Sicherheitsverantwortlichen. Im Gegensatz zu Phishing- oder Social-Engineering-Angriffen sind keine aktiven Handlungen auf Seiten der Opfer nötig. Bekannte Beispiele wie Pegasus (NSO Group) nutzen ähnliche Mechanismen aus, etwa durch Formatanalysefehler in Audio- und Bilddecodern.
Zero-Click bedeutet auch: Angriffe sind schwer zu erkennen, kaum zu verhindern und können sogar in ansonsten gut gehärteten Umgebungen Fuß fassen. Besonders gefährdet sind laut dem Verizon Data Breach Investigations Report 2024 Systeme mit hoher Softwarekomplexität und proprietären Medientreibern – was auf fast alle Dolby-kompatiblen Plattformen zutrifft.
Statistik: Verbreitung und Ausnutzungsgrad solcher Schwachstellen
Laut Daten des Sicherheitsunternehmens Mandiant kam es 2024 zu mindestens 47 dokumentierten Zero-Click-Angriffen, von denen 62% auf Mediacodecs und Parsing-Engines zurückzuführen waren. Dolby-kompatible Geräte waren davon in bisher zwei Fällen nachweislich betroffen – diese Zahl dürfte aufgrund unzureichender Telemetriedaten deutlich höher liegen.
Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) klassifizierte im Juli 2025 die Decoder-Lücke als Stufe 4 („hoch“) in der CVSS-Vektorbewertung. Konkrete Vorfälle in Deutschland wurden bislang nicht gemeldet, jedoch bestehen laut BSI Risiken für Firmengeräte mit unverändertem OS-Image nach Auslieferung.
Herausforderungen bei der Behebung solcher Exploits
Die Behebung von Schwachstellen in geschlossenen Systemkomponenten wie dem Dolby Decoder stellt Entwickler vor strukturelle Probleme:
- Proprietäre Schnittstellen: Der Quellcode des Decoders ist nicht öffentlich, was unabhängige Audits und alternative Patches verhindert.
- Hardwareabhängige Implementierungen: Viele Dolby-Funktionen sind auf DSPs oder Audiochips ausgelagert. Ein Softwarepatch reicht daher oft nicht aus.
- Verzögerte OEM-Updates: Besonders Android-Hersteller und Notebook-OEMs verzögern sicherheitsrelevante Updates, teilweise um Monate.
Hinzu kommt: Selbst wenn Patches bereitstehen, installieren viele Nutzer sie nicht zeitnah. Studien zeigen, dass bis zu 45% der Endnutzer wichtige Sicherheitsupdates innerhalb der ersten drei Wochen nicht anwenden (Quelle: Digital Security Index 2024).
Was Unternehmen und Nutzer jetzt tun sollten
- Systeme auf verfügbare Updates prüfen: Android-, Windows- und Apple-Systeme sollten spätestens im Oktober 2025 aktualisiert worden sein – andernfalls besteht akute Kompromittierungsgefahr.
- Mediendateien aus unbekannten Quellen blockieren: E-Mail- und Chat-Tools sollten so konfiguriert sein, dass Anhänge nicht automatisch heruntergeladen oder in Vorschauen gerendert werden.
- Mobile Device Management (MDM) einsetzen: Organisationsumgebungen sollten zentral prüfen, ob Dolby-bezogene Bibliotheken aktualisiert wurden – insbesondere bei BYOD-Geräten.
Für Unternehmen mit kritischer Infrastruktur empfiehlt sich außerdem die aktive Netzwerküberwachung zur Erkennung verdächtiger Medienübertragungen – insbesondere .mp4- und .m4a-Tracks mit ungewöhnlich großen Metadata-Blöcken.
Fazit: Eine Lücke, die Silent Exploits ermöglicht
Die Sicherheitslücke im Dolby Unified Decoder zeigt erneut, wie gefährlich tief eingebettete, proprietäre Softwarekomponenten sein können. Zero-Click-Exploits sind schwer zu erkennen und schwerer zu patchen – insbesondere, wenn Systeme fragmentiert oder veraltet sind. Die Reaktion von Apple, Google und Microsoft zeigt zwar Fortschritte im Patchmanagement, doch die langwierige Updateverteilung auf OEM- und Embedded-Ebene bleibt ein kritischer Schwachpunkt.
Umso wichtiger ist es, dass Security-Teams wachsam bleiben und betroffene Systeme umgehend auf Aktualität prüfen. Haben Sie innerhalb Ihrer IT-Infrastruktur bereits überprüft, ob Dolby-Komponenten gepatcht wurden? Teilen Sie Ihre Erfahrungen und Lösungswege mit unserer Community in den Kommentaren – gemeinsam können wir solche Bedrohungen in den Griff bekommen.
