Fehler in Docker Model Runner erlaubt Sandboxausbruch unter macOS

Nutzen Angreifer eine Sicherheitslücke in Docker unter macOS erfolgreich aus, können sie aus der Sandbox ausbrechen und Schadcode im Hostsystem ausführen. Eine dagegen gerüstete Version steht zum Download bereit.

Die Sicherheitslücke

In einer Warnmeldung erläutern die Entwickler, dass die Schwachstelle (CVE-2026-5843 „hoch“) in Docker Model Runner zum Laden und Ausführen von lokalen LLMs steckt. Darüber können Angreifer die Komponente dazu bringen, ein mit Schadcode verseuchtes KI-Modell zu laden. Dafür müssen sie aber über ein Netzwerk Zugriff auf Container haben.

Das Sicherheitsproblem liegt konkret im Umgang mit Python-Code in diesem Kontext. Weil keine Überprüfung stattfindet, wird ein LLM ohne Sicherheitsabfrage direkt geladen. Unter macOS handhabt Apples MLX-Framework lokale KI-Modelle. In diesem Fall liest MLX die config.json und führt malicious_script.py direkt aus. Weil MLX außerhalb der Docker-Umgebung ohne Sandbox direkt auf Systemebene läuft, können Angreifer eigenen Code mit den Rechten des Nutzers ausführen können.

Die Entwickler geben an, dass Docker ab Version 4.56.0 bedroht ist. Sie versichern, die Sicherheitsproblematik in der Ausgabe 4.71.0 gelöst zu haben. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Die Version ist bereits seit April dieses Jahres verfügbar. Konkrete Informationen zur Lücke sind aber erst seit Kurzem bekannt.

Aktuell ist die Ausgabe 4.75.0, in der die Entwickler unter macOS und Windows verschiedene Bugs ausgebügelt haben. In 4.72.0 haben sie die Linux-Kernel-Sicherheitslücke „Copy Fail“ (CVE-2026-31432 „hoch“) geschlossen. Die Copy-Fail-Schwachstelle wird bereits ausgenutzt und Angreifer kompromittieren darüber Systeme als root-Nutzer. Demzufolge sollten Admins sicherstellen, dass auf ihren Systemen eine aktuelle Ausgabe installiert ist.

(des)