近期Docker發布電腦版應用程式Docker Desktop更新4.34.2版,修補2項高風險層級的漏洞CVE-2024-8695、CVE-2024-8696,攻擊者可濫用惡意延伸套件,而有機會遠端執行任意程式碼(RCE),4.0版CVSS風險評分為9.0、8.9,3.1版CVSS風險則都達到了9.8分的程度。
值得留意的是,這項漏洞影響所有版本Docker Desktop,涵蓋Windows、Windows on Arm、Intel版Mac、M系列晶片Mac,以及Debian、Arch等環境執行的Docker Desktop,都存在這項漏洞。
對於這些漏洞發生的原因,資安新聞網站Cybersecurity News指出弱點發生在於該應用程式處理延伸套件的資訊,例如:套件說明、版本更新記錄、發布的URL,攻擊者一旦在延伸套件的相關欄位輸入有問題的內容,就有機會愚弄Docker Desktop,而能在受害電腦執行任意程式碼。
熱門新聞
2024-11-25
2024-11-25
2024-11-15
2024-11-15
2024-11-26
Advertisement