Docker修補電腦版應用程式RCE漏洞

近期Docker發布電腦版應用程式Docker Desktop更新4.34.2版，修補2項高風險層級的漏洞CVE-2024-8695、CVE-2024-8696，攻擊者可濫用惡意延伸套件，而有機會遠端執行任意程式碼（RCE），4.0版CVSS風險評分為9.0、8.9，3.1版CVSS風險則都達到了9.8分的程度。

值得留意的是，這項漏洞影響所有版本Docker Desktop，涵蓋Windows、Windows on Arm、Intel版Mac、M系列晶片Mac，以及Debian、Arch等環境執行的Docker Desktop，都存在這項漏洞。

對於這些漏洞發生的原因，資安新聞網站Cybersecurity News指出弱點發生在於該應用程式處理延伸套件的資訊，例如：套件說明、版本更新記錄、發布的URL，攻擊者一旦在延伸套件的相關欄位輸入有問題的內容，就有機會愚弄Docker Desktop，而能在受害電腦執行任意程式碼。