近期Docker发布电脑版应用程序Docker Desktop更新4.34.2版,修补2项高风险层级的漏洞CVE-2024-8695、CVE-2024-8696,攻击者可滥用恶意延伸组件,而有机会远程执行任意程序代码(RCE),4.0版CVSS风险评分为9.0、8.9,3.1版CVSS风险则都达到了9.8分的程度。
值得留意的是,这项漏洞影响所有版本Docker Desktop,涵盖Windows、Windows on Arm、Intel版Mac、M系列芯片Mac,以及Debian、Arch等环境执行的Docker Desktop,都存在这项漏洞。
对于这些漏洞发生的原因,安全新闻网站Cybersecurity News指出弱点发生在于该应用程序处理延伸组件的资讯,例如:组件说明、版本更新纪录、发布的URL,攻击者一旦在延伸组件的相关字段输入有问题的内容,就有机会愚弄Docker Desktop,而能在受害计算机执行任意程序代码。
