報導摘要

近期，Docker Desktop 應用程式被揭露存在一個高度危險的資安漏洞，其編號為 CVE-2025-9074，嚴重性評分達到 9.3。此漏洞的核心問題在於，即使是惡意容器，也能夠在未經身分驗證的情況下，透過內部子網路（預設 IP 192.168.65.7:2375）直接存取 Docker Engine API。這使得攻擊者能夠完全繞過 Docker 的安全隔離措施，包括「強化容器隔離（Enhanced Container Isolation）」功能，進而劫持並控制運行 Docker Desktop 的 Windows 主機系統。受此漏洞影響的用戶面臨資料外洩、系統遭竄改甚至被完全接管的嚴重風險。Docker 官方已迅速回應，並發布了 4.44.3 版本，修復了此一漏洞。所有 Docker Desktop 的使用者，特別是 Windows 與 macOS 用戶，被強烈建議立即更新至最新版本，以保護其主機與敏感資料。

1. 漏洞的技術細節與攻擊機制

CVE-2025-9074 漏洞的發現，揭示了 Docker Desktop 一個被輕忽的設計缺陷。通常，容器與主機之間的通訊應受到嚴格限制，以確保隔離性。然而，此漏洞的發現者，資安研究員 Felix Boulet，發現即使沒有掛載 Docker 套接字（Docker socket），任何在 Docker Desktop 環境中運行的容器，都能透過簡單的網路請求連線到 Docker Engine API。

• 創建新容器： 駭客可以隨意啟動並配置新的容器。

• 存取主機檔案系統： 在 Windows 上，由於 Docker Desktop 透過 WSL2（Windows Subsystem for Linux）運行，攻擊者可以以與 Docker Desktop 使用者相同的權限，掛載整個主機的檔案系統，從而讀取任何敏感檔案。

• 權限提升： 攻擊者甚至可以利用此權限，覆寫系統動態連結庫（DLL），最終將其權限提升至管理員級別，實現對主機的完全控制。

研究人員指出，此漏洞利用方式極為簡單，其 PoC（概念驗證）程式碼甚至只需短短幾行 Python 就能實現，顯示了其極高的可利用性。
 

2. 受影響的系統與潛在風險

• Windows 平台： 受影響最為嚴重。由於 WSL2 的特性，駭客能輕易地掛載主機驅動器，讀取用戶檔案，並具備將權限提升至管理員級別的能力。這對開發者、企業及任何使用 Docker Desktop 進行開發或運行的用戶來說，都構成巨大的風險。

• macOS 平台： 雖然操作系統本身的保護機制使得攻擊者的權限提升較為困難，但仍無法完全阻止攻擊。駭客仍能完全控制 Docker 應用程式及其容器，甚至在未經使用者同意的情況下，竄改其配置或植入後門。

• Linux 平台： 此漏洞不影響原生 Linux 系統上的 Docker Engine，因為其 API 預設使用具備更高安全性的具名管道（named pipe）而非 TCP 連接埠。

除了直接的系統控制外，此漏洞還可能導致供應鏈攻擊。若任何惡意的 Docker 映像檔被意外下載並運行，整個主機便可能在不知不覺中被接管，對企業內部網路造成連鎖反應。這再次提醒我們，即使是信任的應用程式，也可能存在潛在的風險，必須持續監控與更新。

3. 官方回應與修復措施

Docker 公司在獲悉此漏洞後迅速行動，展現了其負責任的態度。官方已發布 Docker Desktop 4.44.3 版本，專門用來修復 CVE-2025-9074。新版本透過修補漏洞，徹底阻斷了容器對 Docker Engine API 的非授權存取。

• 檢查版本： 運行 Docker Desktop 的用戶應立即檢查其應用程式版本。

• 立即更新： 確保將 Docker Desktop 更新至 4.44.3 或更高版本。

• 保持警惕： 即使系統已更新，仍需保持對未知來源容器的警惕，並定期審查系統日誌，以確保沒有異常活動。

此一事件再次證明，即使是看似安全的開發工具，也可能成為資安攻擊的目標。企業與開發者必須將資安防護視為日常工作的一部分，而非事後的補救措施。透過即時更新與持續的資安意識，才能最大程度地降低風險，保護重要的數位資產。