漏洞概述
Docker Desktop 针对 Windows 和 macOS 版本的一个高危漏洞(CVE-2025-9074)已被修复。该漏洞允许恶意容器逃逸隔离环境,获取宿主计算机的管理员权限。这款广受开发者欢迎的应用程序被发现存在安全缺陷,攻击者可借此突破隔离容器限制,完全控制计算机系统。该漏洞在 CVSS 评分体系中获得 9.3 分(满分 10 分),影响 Windows 和 macOS 双平台版本。
Docker 公司已于 2025 年 8 月 20 日发布的 4.44.3 版本中修复此漏洞。正常情况下,容器作为隔离环境应与主机系统保持分离,但该安全漏洞绕过了这层保护机制,使容器内运行的恶意程序能够未经授权访问主机。
漏洞原理
该漏洞源于 Docker Engine 内部通信系统(一种称为 HTTP API 的网络接口)在未经安全检查的情况下暴露。这意味着携带恶意代码的容器可以连接该 API,创建具有特殊"特权"(privileged)模式的新容器,进而访问宿主计算机文件系统。攻击者随后可通过修改系统配置获取管理员级控制权,这种攻击方式被称为"容器逃逸"(container escape)或"容器突破"(container breakout)漏洞。
该漏洞的严重性在于,即使用户启用了 Docker 的增强容器隔离(Enhanced Container Isolation,ECI)功能——该功能本应防范此类攻击——攻击依然可能成功。在 Windows 系统上,攻击者甚至能利用该漏洞覆盖重要系统文件,完全接管计算机。
修复建议
Docker 公司迅速发布 4.44.3 版本修复该问题,官方声明称漏洞已解决,可有效阻止恶意容器通过 Docker Engine 启动其他容器。
为确保安全,建议采取以下措施:
- 立即更新所有软件,将 Docker Desktop 升级至 4.44.3 版本
- 强化安全配置:避免使用过度宽松的设置(如 --privileged 命令),限制容器可访问范围
- 持续监控系统异常活动(如异常资源占用),及时发现恶意程序
专家观点
应用安全解决方案提供商 Black Duck 的高级顾问 Nivedita Murthy 女士表示:
Docker Desktop 本是在不触及主机系统的情况下运行隔离环境和应用程序的实用工具,而该漏洞实质上突破了这层边界,使恶意用户能够访问本应禁止容器接触的主机文件系统。
她指出:开发者群体普遍在其 Windows 或 Mac 系统上使用 Docker Desktop。IT 团队应强制推送更新并向所有用户发出紧急升级警报。同时需要主动扫描企业资产中该软件的安装情况,按需进行移除或升级,确保组织在可信环境中保持开发效率。
参考来源:
Docker Desktop Vulnerability Allowed Host Takeover on Windows, macOS
https://hackread.com/docker-desktop-vulnerability-host-takeover-windows-macos/
电台讨论
