Datenschutz & Sicherheit
Exploitarium: Anonymer Sicherheitsforscher veröffentlicht zwei Dutzend Zero-Days
Ein Unbekannter mit dem sommerlichen Pseudonym „Bikini“ hat auf der Codesharing-Plattform Github Proof-of-Concept-Code für knapp zwei Dutzend Sicherheitslücken veröffentlicht – nach eigener Aussage allesamt bislang ungefixte Zero-Days. Darunter befinden sich Exploits für PHP, OpenVPN, VLC und andere Projekte. Die Schwere der Sicherheitslücken variiert von Informationslecks bis zu Codeeinschleusung. Wer will, kann die Lücken an den Hersteller melden, um Ruhm einzuheimsen.
Weiterlesen nach der Anzeige
Im Github-Repository „Exploitarium“ finden sich alle Lücken mit einer kurzen README, die wie Teile der eigentlichen Lückenfindung KI-generiert ist. Im Einzelnen sind folgende Projekte betroffen:
- 7-Zip 26.01 (Windows)
- AnyDesk 9.7.6 (Windows)
- c-ares
- Docker Engine 29.6.0
- FFmpeg: RASC-Decoder
- Firefox 152.0.2 (Windows)
- Floci 1.5.27 API Gateway
- Flowise 3.1.2 / flowise-components 3.1.2
- Ghidra 12.1.2
- Gitea
- ImageMagick 7.1.2-25 mit Ghostscript 10.07.1 (Windows)
- libssh2 (PoC für CVE-2026-55200 sowie für neue Lücke unter Windows)
- Lunar Client
- MyBB 1.8.40
- nghttp2 1.69.0
- nmap
- objdump
- OpenVPN 3.11.3 sowie OpenVPN Connect für Windows 3.8.0
- PHP 8.5.7
- RustDesk
- SystemInformer 4.0.26162.539 (Windows)
- VLC 3.0.23 (Windows)
Wie der unbekannte Sicherheitsforscher selber schreibt, sind manche seiner Funde „ein bißchen schrottig“, manche seien aber besser. Er nutzte KI für Handreichungen bei der Lückensuche, betont jedoch, dass fast alle PoCs handkodiert seien. Bis auf eine Lücke – CVE-2026-55200 – gibt es weder CVE-Kennungen noch CVSS-Punkte oder andere Zusatzinformationen. Potenziell Betroffene müssen diese aus den jeweiligen Readmes und dem PoC-Code extrahieren oder auf Bearbeitung durch die Hersteller warten. Auf die Hintergründe von CVE, CVSS und anderen Metadaten für Sicherheitslücken geht der Podcast „Passwort“ in seiner aktuellen Folge ausführlich ein.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Motivation: Nachwuchswerbung
Die Motivation hinter dem Exploitarium sei Nachwuchswerbung, schreibt der Anonymous. Er schenkt die Funde der Öffentlichkeit und betont, dass ein jeder sie an die betroffenen Hersteller melden dürfe, um einen CVE dafür „einzuheimsen“. Der Sicherheitsforscher habe sich zu diesem Vorgehen entschlossen, um „Leute in das Feld [der Exploitsuche, d.R.] zu locken“, er empfinde es als „effizientesten Weg“ der Nachwuchswerbung.
Weiterlesen nach der Anzeige
KI-generierte Sicherheitslücken überschwemmen in den vergangenen Monaten in einer Art „Vulnokalypse“ die Bug-Bounty-Programme vieler Hersteller und führen zu spürbaren Abnutzungserscheinungen. Das cURL-Projekt hat daher den „Summer of Bliss“ ausgerufen und bearbeitet im Juli keine Fehlermeldungen.
(cku)