Docker Desktop 修复严重安全漏洞
Docker 近日发布紧急安全更新,修复了影响 Windows 10/11 和 macOS 版 Docker Desktop 的高危安全漏洞。该漏洞编号为 CVE-2025-9074,CVSS 评分高达 9.3 分,已在 Docker Desktop v4.44.3 版中得到修复。
该漏洞由安全研究人员 Felix Boulet 发现,与容器无需身份验证即可连接到 Docker Engine API 有关。恶意容器可利用此漏洞直接穿透虚拟化防御,访问宿主机的文件系统。在概念验证中,研究人员展示了来自任何容器的 Web 请求都可触发漏洞,导致安装 Docker Desktop 的宿主机完全被攻陷。
由于 macOS 对应用程序实施的文件系统限制,该漏洞在 macOS 上主要影响 Docker Desktop 控制权,而在 Windows 10/11 上威胁更大。值得注意的是,Docker Desktop for Linux 版不受此问题影响,因为在 Linux 上 Docker Desktop 不依赖 Docker Engine API 的 TCP 连接。
攻击者可能通过供应链攻击的方式利用该漏洞,例如通过社会工程学手段控制热门容器镜像开发者账号,上传含有恶意代码的镜像。一旦用户运行这些恶意镜像,攻击者就能获得宿主机文件系统访问权限,甚至可能提升至系统管理员权限。
所有使用 Docker Desktop(Windows or macOS)的用户都需要立即升级到 v4.44.3 版。
(蓝点网)
——————
出于各种原因,本频推荐在 macOS 上使用 Orbstack 代替 Docker Desktop。
Docker 近日发布紧急安全更新,修复了影响 Windows 10/11 和 macOS 版 Docker Desktop 的高危安全漏洞。该漏洞编号为 CVE-2025-9074,CVSS 评分高达 9.3 分,已在 Docker Desktop v4.44.3 版中得到修复。
该漏洞由安全研究人员 Felix Boulet 发现,与容器无需身份验证即可连接到 Docker Engine API 有关。恶意容器可利用此漏洞直接穿透虚拟化防御,访问宿主机的文件系统。在概念验证中,研究人员展示了来自任何容器的 Web 请求都可触发漏洞,导致安装 Docker Desktop 的宿主机完全被攻陷。
由于 macOS 对应用程序实施的文件系统限制,该漏洞在 macOS 上主要影响 Docker Desktop 控制权,而在 Windows 10/11 上威胁更大。值得注意的是,Docker Desktop for Linux 版不受此问题影响,因为在 Linux 上 Docker Desktop 不依赖 Docker Engine API 的 TCP 连接。
攻击者可能通过供应链攻击的方式利用该漏洞,例如通过社会工程学手段控制热门容器镜像开发者账号,上传含有恶意代码的镜像。一旦用户运行这些恶意镜像,攻击者就能获得宿主机文件系统访问权限,甚至可能提升至系统管理员权限。
所有使用 Docker Desktop(Windows or macOS)的用户都需要立即升级到 v4.44.3 版。
(蓝点网)
——————
出于各种原因,本频推荐在 macOS 上使用 Orbstack 代替 Docker Desktop。
