Nutzen Angreifer eine Sicherheitslücke in Docker unter macOS erfolgreich aus, können sie aus der Sandbox ausbrechen und Schadcode im Hostsystem ausführen. Eine dagegen gerüstete Version steht zum Download bereit.

Die Sicherheitslücke

In einer Warnmeldung erläutern die Entwickler, dass die Schwachstelle (CVE-2026-5843 „hoch“) in Docker Model Runner zum Laden und Ausführen von lokalen LLMs steckt. Darüber können Angreifer die Komponente dazu bringen, ein mit Schadcode verseuchtes KI-Modell zu laden. Dafür müssen sie aber über ein Netzwerk Zugriff auf Container haben.

Das Sicherheitsproblem liegt konkret im Umgang mit Python-Code in diesem Kontext. Weil keine Überprüfung stattfindet, wird ein LLM ohne Sicherheitsabfrage direkt geladen. Unter macOS handhabt Apples MLX-Framework lokale KI-Modelle. In diesem Fall liest MLX die config.json und führt malicious_script.py direkt aus. Weil MLX außerhalb der Docker-Umgebung ohne Sandbox direkt auf Systemebene läuft, können Angreifer eigenen Code mit den Rechten des Nutzers ausführen können.

Die Entwickler geben an, dass Docker ab Version 4.56.0 bedroht ist. Sie versichern, die Sicherheitsproblematik in der Ausgabe 4.71.0 gelöst zu haben. Bislang gibt es keine Berichte, dass Angreifer die Lücke bereits ausnutzen. Die Version ist bereits seit April dieses Jahres verfügbar. Konkrete Informationen zur Lücke sind aber erst seit Kurzem bekannt.

Aktuell ist die Ausgabe 4.75.0, in der die Entwickler unter macOS und Windows verschiedene Bugs ausgebügelt haben. In 4.72.0 haben sie die Linux-Kernel-Sicherheitslücke „Copy Fail“ (CVE-2026-31432 „hoch“) geschlossen. Die Copy-Fail-Schwachstelle wird bereits ausgenutzt und Angreifer kompromittieren darüber Systeme als root-Nutzer. Demzufolge sollten Admins sicherstellen, dass auf ihren Systemen eine aktuelle Ausgabe installiert ist.

(des)

Ein „Meilenstein für die Sicherheitsarchitektur Deutschlands“ sei das Gesetz zur Stärkung der Cybersicherheit, sagte Bundesinnenminister Alexander Dobrindt (CSU). Denn damit komme als „Kernbestandteil“ die „aktive Cyberabwehr“. „Wir schlagen zurück, wir schalten die Bedrohung aus. Wenn wir angegriffen werden, werden wir die Angreifer stören und ihre Infrastruktur zerstören können.“ Politisch wird diese neue Befugnis für das Bundeskriminalamt mit der geänderten Sicherheitslage und der erhöhten Dringlichkeit begründet.

„Aktive Cyberabwehr“ soll kein Hackback sein

Umstritten ist, dass nach dem Willen der Bundesregierung künftig mutmaßliche Angreifersysteme zur Gefahrenabwehr lahmgelegt oder manipuliert werden dürfen. „Bisher haben wir bei Angriffen reagiert, indem wir versucht haben, sie in schadlose Bereiche des Netzes umzuleiten“, erläutert Dobrindt. Das sei wirkungsvoll, aber bislang das Einzige an aktiver Abwehr. Software und Server von Angreifern im Ausland würden künftig ebenfalls ins Visier genommen, was aus seiner Sicht einen qualitativen Unterschied darstellt. Es handele sich bei den vorgesehenen Maßnahmen um eine notwendige Ergänzung zu allen anderen, ebenfalls vorgenommenen Maßnahmen wie der Härtung von IT-Systemen oder gesetzlichen Verpflichtungen zu mehr IT-Sicherheit wie durch die NIS2-Regeln.

Kritiker sehen in der Regelung die Befugnis zum Hackback – bei der bereits in einem frühen Stadium in fremde Systeme eingedrungen werden könne. Da professionelle Angreifer sich jedoch regelmäßig fremder Geräte bedienten, beträfen die Maßnahmen nicht die Urheber, sondern Dritte. Diese Befürchtung hält Bundesinnenminister Alexander Dobrindt (CSU) jedoch für unbegründet. Eine Gefahr, hier unbeabsichtigt Grenzen des völkerrechtlich Zulässigen zu überschreiten, sieht der Minister nicht.

Vergleichsmaßstab: Herrenloser Koffer

Ein Hackback sei ein ungerichteter Vergeltungsschlag, hier gehe es hingegen um konkrete Gefahrenabwehr durch Bundeskriminalamt, Bundespolizei und Bundesamt für Sicherheit in der Informationstechnik. Daher bedürfe es auch keiner Änderung am Grundgesetz, sagte der Minister. „Wir gehen nicht wahllos auf Server zu, sondern es muss klar sein, dass von dieser Serverstruktur die Gefahr ausgeht.“ Wer genau hinter dem System stecke, sei dafür irrelevant. Der Minister zieht dabei eine Analogie: „Wenn von einem herrenlosen Koffer eine Gefahr ausgeht, dann schreiten wir dagegen ein und klären nicht erst auf, wem dieser Koffer gehört.“ Oft sei heute allerdings bekannt, wem angreifende Geräte zuzurechnen seien.

Vom IoT-Device über Server bis zu gekaperten Cloudinstanzen soll das BKA künftig frühzeitig eingreifen können, um Angriffe wie DDoS-Attacken von vornherein zu unterbinden, indem etwa Command & Control-Server identifiziert und unschädlich gemacht werden.

Kritik vonseiten der Zivilgesellschaft

Nach den Vorhaben für Vorratsdatenspeicherung, den Umsetzungsgesetzen zur digitalen Beweissicherung, den Datenanalyse- und biometrischen Internetabgleichsbefugnissen ist das bereits das dritte große Paket, mit dem die schwarz-rote Bundesregierung Polizeien und Staatsanwaltschaften weitere Befugnisse einräumen will. Gegen Teile dieser Pläne, die zudem im Eiltempo den Bundestag passieren sollen, gibt es scharfe Kritik aus der Zivilgesellschaft.

(dmk)

Im Archivprogramm 7-Zip haben IT-Forscher eine Sicherheitslücke entdeckt, die Angreifern das Einschleusen von Schadcode ermöglicht. Dazu genügt das Öffnen einer sorgsam präparierten Archiv-Datei. Ein Update zum Schließen des Sicherheitslecks steht bereit.

Das GitHub-Security-Team hat einen entsprechenden Schwachstelleneintrag veröffentlicht. In 7-Zip 26.00 können bösartige Akteure demnach einen Heap-basierten Pufferüberlauf provozieren. Bei der Verarbeitung von komprimierten NTFS-Streams kann ein zu kleiner Puffer angelegt werden, was zum Absturz der App oder sogar zur Ausführung beliebigen Codes führen kann (CVE-2026-48095, CVSS 8.8, Risiko „hoch“).

Das Verhalten der Lücke unterscheidet sich je nach Wortbreite der Systemarchitektur. 32-Bit-Builds sind in jedem Fall davon betroffen, auf 64-Bit-Systemen hängt es davon ab, wie viel RAM tatsächlich im System verbaut ist. Auf Systemen mit 16 GByte und mehr findet die Speicherallokation korrekt statt, sodass dort Schadcode eingeschleust werden kann.

Auf Systemen mit weniger Speicher kann das fehlschlagen und führt dann zu einem Denial-of-Service-Zustand. Die Meldung enthält auch Proof-of-Concept-Code, sodass Angreifer in Kürze die Schwachstelle in ihr Standard-Repertoire aufnehmen könnten.

Das SOC-Prime-Team hat einen Blog-Beitrag zur Schwachstelle veröffentlicht. Die Lücke ist dadurch gefährlich, dass Angreifer keine speziellen Dateiendungen für die manipulierten Archive nutzen müssen, um den NTFS-Handler in Aktion zu setzen. Die Endungen können auch beliebig sein, etwa .7z, .zip, .rar oder ähnliche. Wenn die dafür zuständigen Handler die Daten in der Datei nicht verarbeiten können, wendet 7-Zip eine Art MIME-Magic an und füttert den NTFS-Handler mit dem Input, weil der die Datei erkennt und verarbeitet.

Aktualisierte Software

Das Problem besteht in 7-Zip 26.00. Am 27. April 2026 erschien 7-Zip 26.01, das unter anderem diese Sicherheitslücke schließt. Da 7-Zip keinen automatischen Update-Mechanismus enthält, müssen Nutzerinnen und Nutzer sowie Admins die Aktualisierung manuell vornehmen. An der Windows-Eingabeaufforderung sollte der Aufruf von winget upgrade --all die Aktualisierung finden und installieren.

Ansonsten steht die aktuelle 7-Zip-Fassung auch auf der Download-Seite des Projekts zum Herunterladen bereit. Eine weitere Download-Seite bei Sourceforge hält zudem Updates für diverse Plattformen abseits von Windows bereit, dort finden sich auch die weiteren Änderungen gegenüber der Version 26.00.

Das Update sollte rasch erfolgen. Im vergangenen November haben Angreifer eine Schwachstelle in 7-Zip missbraucht, um damit ihren Opfern Schadcode unterzuschieben.

(dmk)