Cybersicherheit
Unbekannter veröffentlicht Schadcode für beliebte Programme
02.07.2026 – 13:45 UhrLesedauer: 2 Min.
Ein Unbekannter hat fertigen Angriffscode für Sicherheitslücken in rund 20 Programmen veröffentlicht, darunter beliebte Anwendungen. Für Nutzer steigt die Gefahr.
Ein anonymer Sicherheitsforscher hat auf der Softwareentwicklungsplattform GitHub fertigen Angriffscode für Sicherheitslücken in rund 20 Programmen veröffentlicht, ohne deren Hersteller vorab zu informieren. Zu den genannten Programmen zählen auch weitverbreitete Anwendungen wie das Packprogramm 7-Zip, der Browser Firefox, der Videoplayer VLC und die Fernwartungssoftware AnyDesk.
Die Sammlung trägt den Namen „Exploitarium“, der Verfasser tritt unter dem Pseudonym „Bikini“ auf. Zu jeder Lücke gehört neben einer Beschreibung auch Programmcode, über den sich die Schwachstelle ausnutzen lässt. Eine unabhängige Prüfung aller Angaben liegt nicht vor.
Zwei Lücken werden offenbar bereits ausgenutzt
Wie das Fachportal „The Register“ berichtet, stuft der Sicherheitsanalyst Ethan Andrews mindestens zwei der Lücken als besonders gefährlich ein; sie würden bereits für Angriffe genutzt. Eine davon steckt in libssh2, einem Software-Baustein für verschlüsselte Verbindungen, der in vielen anderen Programmen mitverwendet wird und deshalb weitverbreitet ist.
- Ransomware-Angriffe: Mehr Opfer, höhere Lösegeldzahlungen
- Passwörter im Klartext: Massive Sicherheitslücke bei Microsoft Edge entdeckt
Die zweite Lücke betrifft die Server-Software Gitea, für die bereits eine korrigierte Version bereitsteht. Einen Großteil der übrigen Einträge stufte Andrews dagegen als wenig bedeutsam ein, auch Bikini selbst bezeichnete einen Teil seiner Funde als von geringer Qualität.
Bikini gibt an, sich bei der Suche nach den Sicherheitslücken von Künstlicher Intelligenz unterstützen zu lassen. Jedoch habe er bewusst keinen seiner Funde vorab an die Hersteller gemeldet. Sein Ziel sei es, mehr Menschen für die Schwachstellenforschung zu gewinnen; das sei aus seiner Sicht der wirksamste Weg. Zugleich rief er dazu auf, das Material „unter keinen Umständen […] in böswilliger Absicht“ zu verwenden.
Was Nutzer jetzt tun können
Veröffentlichungen dieser Art und ohne vorherige Meldung an die Hersteller nehmen zu. Weil sich Schwachstellen mithilfe von KI leichter aufspüren lassen, werden die Anbieter mit Fehlermeldungen überschwemmt und kommen mit Korrekturen kaum hinterher.
Für Nutzer steigt dadurch die Gefahr, weil Angreifer den veröffentlichten Code unmittelbar einsetzen können. Wer die betroffenen Programme verwendet, sollte verfügbare Sicherheitsupdates umgehend installieren. Für einen Teil der Lücken gibt es bislang allerdings keine Patches.












