Docker Desktop安全漏洞修复:3行代码可控制Win10/Win11/macOS宿主机
8 月 26 日最新动态显示,知名科技媒体 bleepingcomputer 于昨日(8 月 25 日)发布安全警示,披露 Docker Desktop 在 Windows 和 macOS 系统中存在严重安全隐患。**当启用增强容器隔离(ECI)功能时,黑客可能通过精心设计的恶意容器突破隔离限制,进而窃取或篡改主机系统中的敏感文件。**
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
根据报道,该漏洞被标识为 CVE-2025-9074,高危评分为 9.3 分,属于服务器端请求伪造(SSRF)类漏洞。安全研究员 Felix Boulet 在研究中首次发现了这一安全缺陷。
研究结果表明,攻击者在任意容器内部无需任何认证便能访问 Docker Engine API(192.168.65.7:2375)。通过向该端口发送两个特定构造的 HTTP POST 请求,就能创建并执行一个映射宿主机 C 盘的新容器。更令人担忧的是,整个过程并不要求攻击者在容器内具备代码执行权限。
专家 Philippe Dugre **确认该漏洞同时影响 Windows 和 macOS 平台**,但 Linux 版本不受波及。
由于系统架构差异,macOS 系统会在挂载用户目录时强制要求授权确认,且默认不具备 root 权限,因此安全风险相对可控。不过 Dugre 仍警告称,恶意攻击者仍可能借此操控应用程序和容器,修改配置参数或植入后门程序。
在 Windows 环境下情况更为严峻。由于 Docker Engine 运行在 WSL2 子系统中,攻击者不仅能够映射整个文件系统,还能读取机密数据,甚至通过替换系统 DLL 文件来获取管理员权限。Dugre 特别强调,该漏洞利用门槛极低,其验证脚本仅用三行 Python 代码就能完成攻击。
Docker 安全团队在接到报告后第一时间展开修复工作,并于近期发布的 4.44.3 版本中彻底修补了这一漏洞。安全专家强烈建议所有用户立即升级至最新版本,以防患于未然。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
聚焦AI文创与跨境,“数智苏豪”新街口OPC社区启幕
3月30日,南京新街口核心商圈,苏豪大厦一楼广场上机器人迎宾起舞,充满科技感。由苏豪资产运营集团与南京新街口金融商务区管理委员会(以下简称“新街口管委会”)共同打造的“数智苏豪”新街口OPC社区揭牌
极兔牵手顺丰真相:合作细节与市场影响深度解析
今年1月中旬,物流圈上演了备受瞩目的一幕:当国内快递行业因增速放缓而步入存量整合期时,主导中高端市场的老牌物流服务商顺丰控股,与主打电商件的极兔速递联合宣布达成了一项投资交易金额达83亿港元的相互持
力箭二号遥一运载火箭成功发射空间试验飞船
记者从公司获悉,3月30日19时00分,中科宇航力箭二号遥一运载火箭·国际纺都号在东风商业航天创新试验区成功发射,将新征程01卫星、新征程02卫星和天视卫星01星精准送入预定轨道,发射任务取得圆满成
1.9亿年薪背后:又一位车企CEO薪酬为何大幅上涨?
电 动 知 家消 息,近日,据外媒报道,据福特汽车日前发布的一份文件,该公司首席执行 官吉姆·法利2025年的总薪酬大幅增长了11%,达到约2752万美元(约1 9亿元人民币),这是其自2020年末
美议员为何急于拉黑中国机器人却暗留后门?
白宫里,一台人形机器人缓步走入东厅,与美国“第一夫人”并肩亮相,动作仍带着明显的机械感;仅仅一天后,国会山上,这种“会走路的机器”却被划为潜在安全威胁,写进立法提案。这是上周美国上演的荒诞一幕。两党
- 日榜
- 周榜
- 月榜
相关攻略
2015-03-10 11:25
2015-03-10 11:05
2021-08-04 13:30
2015-03-10 11:22
2015-03-10 12:39
2022-05-16 18:57
2025-05-23 13:43
2025-05-23 14:01
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程
