In der Container-Software Docker Desktop können Angreifer aus bösartigen Containern auf die Docker-Engine und in der Folge auf das Dateisystem des Host-Systems zugreifen. Aktualisierte Software steht bereit, um die Sicherheitslücke zu schließen.

In der Versionsankündigung fasst Docker knapp zusammen: Bösartige Container, die in Docker Desktop laufen, können auf die Docker-Engine zugreifen und weitere Container starten, ohne, dass der Docker-Socket gemountet sein müsste. Dies kann unautorisierten Zugriff auf Nutzerdateien im Host-System ermöglichen, Enhanced Container Isolation (ECI) richtet nichts gegen diese Schwachstelle aus (CVE-2025-9074 / EUVD-2025-25308, CVSS 9.3, Risiko „kritisch„).

Die Schwachstellenmeldung selbst geht weiter ins Detail. Lokal laufende Linux-Container können die Docker-Engine-API über das konfigurierte Subnetz erreichen, standardmäßig unter 192.168.65.7:2375. Die Schwachstelle tritt unabhängig davon auf, ob Enhanced Container Isolation (ECI) aktiviert oder wie die Option „Expose daemon on tcp://localhost:2375 without TLS“ konfiguriert wurde. Dadurch lassen sich eine Reihe an privilegierten Befehlen an die Docker-Engine-API ausführen, einschließlich der Kontrolle anderer Container, Erstellen neuer Container, Verwalten von Images und so weiter. Unter Umständen, etwa wenn Docker Desktop für Windows mit WSL-Backend läuft, erlaubt das auch das Mounten des Hostlaufwerks mit den Rechten des Nutzerkontos, in dem Docker Desktop läuft.

Sicherheitslücke mit Update geschlossen

Um das zu verhindern, sollten IT-Verantwortliche auf Docker Desktop 4.44.3 oder neuer aktualisieren. Darin haben die Entwickler die sicherheitsrelevanten Fehler ausgebügelt.

Die aktualisierten Docker-Pakete stehen direkt zum Herunterladen bereit:

Ende April hatte Docker ein Update für Docker Desktop für Windows herausgegeben. Darin haben die Programmierer eine als hochriskant eingestufte Schwachstelle geschlossen, durch die Angreifer ihre Rechte ausweiten konnten.

(dmk)

Neue Tricksereien mit QR-Codes melden Sicherheitsforscher von Barracuda. Die Angriffe kommen per E-Mail und umgehen viele der in großen Unternehmen üblichen Sicherheitsscans. Liest der Endnutzer seine E-Mails dann auch noch mit aktivierter HTML-Darstellung, wird er leicht zum Opfer.

QR-Codes (quick response codes) sind bei Verbrechern beliebt, weil sich darin Hyperlinks kodieren lassen, die Menschen nicht lesen können. Damit lassen sich leichter falsche Hyperlinks unterjubeln. Unter einem Vorwand werden die Zielpersonen dazu gebracht, den Code einzuscannen; flugs landen sie auf einer vom Angreifer kontrollierten Webseite. Diese Methode wird so häufig für das Ernten fremder Zugangsdaten genutzt (Phishing), dass es für Phishing mit QR-Code einen eigenen Begriff gibt: Quishing.

Separate Dateien ergeben zusammen ein Bild

Eine verblüffend einfache Methode besteht darin, einen irreführenden QR-Code in zwei (oder mehr) Teile zu teilen. Diese Bilddateien werden beispielsweise einem Phishing-Email angehängt. Sicherheitssysteme versuchen in der Regel, die Bilddateien einzeln auszuwerten, finden in den einzelnen QR-Schnipseln aber nichts Verwertbares und lassen die gefährliche Nachricht passieren.

Mittels HTML können die Bilder allerdings am Endgerät des Nutzers so angeordnet werden, dass sie optisch wie ein einzelnes Bild wirken – sowohl für das menschliche Auge als auch die Kamera eines Smartphones. Scannt die Zielperson den virtuell zusammengesetzten QR-Code ein, wird sie auf eine betrügerische Webseite umgeleitet, wo beispielsweise Malware oder eine Phishing-Falle warten.

Verschachtelung

Schon länger bekannt ist die Idee, zwei QR-Codes in einander zu verschachteln. Welcher der beiden Codes dann von einem Smartphone ausgewertet wird, hängt insbesondere von der Entfernung zwischen Code und Kamera ab. Ein automatisiertes Sicherheitssystem wird allerdings versuchen, das gesamte Ding auszuwerten.

Barracuda hat Angriffe mit solchen verschachtelten QR-Codes beobachtet. Ein enthaltener Hyperlink ist völlig harmlos und zeigt beispielsweise auf eine Suchmaschine, während der andere Link in die Falle führt. Die Angreifer setzen darauf, dass die verschachtelten Codes die Sicherheitsscanner in die Irre führen. Die aufgeteilten QR-Codes sind ein Trick des Phishing as a Service Toolkits Gabagool; die verschachtelten QR-Codes eine Methode, die das Konkurrenzprodukt Tycoon 2FA beherrscht.

ASCII-Code QR

Bereits im Oktober hat Barracuda über gefinkelte QR-Codes berichtet, die gar nicht als Bilddatei daherkommen, sondern aus ASCII-Codes zusammengesetzt sind. Der ASCII-Code kennt neben Buchstaben und Satzzeichen noch allerlei andere Zeichen, darunter 32 unterschiedliche „Blöcke“, beispielsweise █.

Diese werden in einer Matrix aneinandergereiht. Verbunden mit einem Cascading Style Sheet (CSS), das die Farbe einzelner ASCII-Zeichen ändert und beispielsweise auf Weiß stellt, lassen sich Textgebilde erstellen, die von Smartphones als QR-Code erkannt werden, aber am Sicherheitsscanner unerkannt vorbeigekommen sind. Alternativ lassen sich die weißen Stellen aus geschützten Leerzeichen aus dem ASCII-Repertoire zusammenstellen.

Argwohn angezeigt

Außerhalb geschlossener Systeme sind QR-Codes grundsätzlich verdächtig. Wir empfehlen Argwohn gegenüber QR-Codes sowie grundsätzlich, E-Mails nur als Plain-Text darzustellen. Das sieht zwar nicht so hübsch aus, erschwert aber eine ganze Reihe unterschiedlicher Überwachungs- und Angriffsmethoden, nicht nur QR-Code-Tricks.

Angreifer profitieren mit QR-Codes von einem speziellen Vorteil: Sie lassen sich in der Regel nicht mit demselben Endgerät auswerten, auf dem sie angezeigt werden. Wer meint, einen auf seinem Computerbildschirm angezeigten QR-Code auswerten zu müssen, greift in aller Regel zum Smartphone (was aber nicht unbedingt erforderlich wäre). Und während Arbeitgeber versuchen, mittels Sicherheitssystemen den Aufruf verdächtiger URLs von Arbeitsplatzcomputern hintanzuhalten, ist das zum QR-Scan genutzte Smartphone nicht selten privat und agiert an den Sicherheitssystemen vorbei.

So erreichen Phisher ungemütlich hohe Erfolsquoten. In der Praxis hat sich Anti-Phishing-Training leider als weitgehend nutzlos erwiesen.

(ds)

Ein aktuelles Urteil aus Österreich ist ein weiterer Schritt im Streit um sogenannte „Pay or Okay“-Modelle. Demnach habe die Zeitung „Der Standard“ mit der Gestaltung ihrer Cookie-Banner gegen die Datenschutzgrundverordnung (DSGVO) verstoßen und keine gültige Einwilligung zur Verabeitung von Daten eingeholt.

Beim Modell „Pay or Okay“ werden Leser:innen vor die Wahl gestellt, ob sie ein kostenpflichtiges Abonnement abschließen wollen („pay“) oder Tracking auf der Website zustimmen („okay“). Abonnieren oder akzeptieren: Aus Perspektive von Datenschutz und Privatsphäre ist das keine faire Wahl.

In Fall des Standard wurden Leser:innen beim Klicken des „Okay“-Button direkt zu den Inhalten der Seite geleitet, ohne dass sie zuvor auswählen konnten, für welchen Verarbeitungszweck ihre Daten erhoben werden sollen. Dagegen hat sich die NGO noyb gewehrt. Das ist eine gemeinnützige Organisation aus Wien, die sich für Datenschutz in der EU einsetzt.

Keine freiwillige Einwilligung

Möchten Online-Medien ihre Nutzer:innen tracken, benötigen sie dafür laut DSGVO eine wirksame Rechtsgrundlage. Websites und Apps berufen sich dafür in der Regel auf die informierte und freiwillige Einwilligung und servieren Besucher:innen Cookie-Banner. Allerdings kommt es auf die Gestaltung des Banners an.

Der Europäische Datenschutzausschuss (EDSA) vertritt in seinen Leitlinien zur Einwilligung die Ansicht, dass zu verschiedenen Verarbeitungsvorgängen auch gesonderte Einwilligungen eingeholt werden müssen: „Wenn der Verantwortliche verschiedene Zwecke für die Verarbeitung zusammengefasst hat und nicht versucht, gesonderte Einwilligungen für jeden Zweck einzuholen, fehlt die Freiheit.“

EU-Datenschützer*innen watschen Abo-Modelle ab

Darauf hatte sich auch die österreichische Datenschutzkonferenz (DSB) bezogen, die den Fall aufgrund der noyb-Klage bewertet hatte. Grundsätzlich seien „Pay or Okay“-Modelle demnach zwar kein Problem. Im Fall des Standard hätte Nutzer:innen aber keine ausreichend granulare Auswahl treffen können. Diese Entscheidung hat nun auch das Bundesverwaltungsgericht (BVwg) in Österreich bestätigt.

„Sowohl die DSB als auch das Gericht haben entschieden, dass Nutzer:innen die Möglichkeit haben müssen, die Einwilligung zu jedem Verarbeitungszweck einzeln abzugeben oder zu verweigern“, fasst noyb die Lage zusammen.

Die NGO geht jedoch davon aus, das Der Standard die Entscheidung noch vor dem Verwaltungsgerichtshof (VwGH) in Österreich anfechten werde, bis sie wahrscheinlich vor dem dem Europäischen Gerichtshof (EuGH) landet. Der Standard hat in Reaktion auf das Urteil bereits angekündigt, die Granularität der Einwilligung anzupassen.

Mehr Tracking durch „Pay or Okay“

„Pay or Okay“-Modelle sind besonders in der EU verbreitet. Populäre Nachrichtenseiten wie T-Online oder der Spiegel setzen sie ein. Auch Meta nutzt das Modell seit 2023 für Facebook und Instagram.

Fachleute bezweifeln nicht nur die Rechtmäßigkeit, sondern auch die finanzielle Notwendigkeit dieser Modelle. Laut einem Bericht von noyb stammen nur etwa 10 Prozent der Einnahmen von Medienhäusern aus digitaler Werbung und höchstens 5 Prozent aus der Verarbeitung von personenbezogener Daten.

Vor die Wahl zwischen Abonnement und Tracking gestellt, würden sich mehr als 99 Prozent für Tracking entscheiden. „Laut Studien wollen aber nur 0,16 Prozent bis 7 Prozent der Menschen getrackt werden oder ihre Daten für personalisierte Werbung verwenden“, mahnt noyb.