游乐游手机版
首页/科技数码/文章详情

Docker Desktop安全漏洞修复:3行代码可控制Win10/Win11/macOS宿主机

时间:2025-08-27 12:52
8 月 26 日消息,科技媒体 bleepingcomputer 昨日(8 月 25 日)发布博文,报道称 Windows 和 macOS 版 Docker Desktop 存在高危漏洞,在启用增

8 月 26 日最新动态显示,知名科技媒体 bleepingcomputer 于昨日(8 月 25 日)发布安全警示,披露 Docker Desktop 在 Windows 和 macOS 系统中存在严重安全隐患。**当启用增强容器隔离(ECI)功能时,黑客可能通过精心设计的恶意容器突破隔离限制,进而窃取或篡改主机系统中的敏感文件。**

根据报道,该漏洞被标识为 CVE-2025-9074,高危评分为 9.3 分,属于服务器端请求伪造(SSRF)类漏洞。安全研究员 Felix Boulet 在研究中首次发现了这一安全缺陷。

研究结果表明,攻击者在任意容器内部无需任何认证便能访问 Docker Engine API(192.168.65.7:2375)。通过向该端口发送两个特定构造的 HTTP POST 请求,就能创建并执行一个映射宿主机 C 盘的新容器。更令人担忧的是,整个过程并不要求攻击者在容器内具备代码执行权限。

专家 Philippe Dugre **确认该漏洞同时影响 Windows 和 macOS 平台**,但 Linux 版本不受波及。

由于系统架构差异,macOS 系统会在挂载用户目录时强制要求授权确认,且默认不具备 root 权限,因此安全风险相对可控。不过 Dugre 仍警告称,恶意攻击者仍可能借此操控应用程序和容器,修改配置参数或植入后门程序。

在 Windows 环境下情况更为严峻。由于 Docker Engine 运行在 WSL2 子系统中,攻击者不仅能够映射整个文件系统,还能读取机密数据,甚至通过替换系统 DLL 文件来获取管理员权限。Dugre 特别强调,该漏洞利用门槛极低,其验证脚本仅用三行 Python 代码就能完成攻击。

Docker 安全团队在接到报告后第一时间展开修复工作,并于近期发布的 4.44.3 版本中彻底修补了这一漏洞。安全专家强烈建议所有用户立即升级至最新版本,以防患于未然。

来源:https://www.ithome.com/0/878/050.htm
上一篇神农架现直立行走不明生物,目击者拍下疑似母熊抱幼崽画面 下一篇1800元Labubu盲盒开箱翻车:旧鞋饭盒烟灰缸,网友直呼亏大了
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5

电动汽车电池新国标7月实施热失控不起火不爆炸
科技数码 · 2026-07-01

电动汽车电池新国标7月实施热失控不起火不爆炸

自2026年7月1日起,两项关乎电动汽车安全的核心强制性国家标准将正式实施,为行业加装“安全锁”——《电动汽车安全要求》(GB 18384-2025)与《电动汽车用动力蓄电池安全要求》(GB 38031-2025)同步落地。此次标准升级,从整车架构与电池系统两大维度,精准填补了近年来多起事故暴露出的