最新文章
Top News
Docker 修复跨平台容器逃逸漏洞
HackerNews 编译,转载请注明出处: Docker 修复了 Windows 和 macOS 版 Docker Desktop 应用程序中的一个高危漏洞(CVE-2025-9074,CVSS 评分 9.3),攻击者可能利用该漏洞突破容器隔离限制。 根据 Docker 官方文档披露,恶意容器能够访问 Docker 引擎并在无需套接字的情况下启动新容器,即使启用了增强容器隔离(ECI)功能,仍存在主机文件被访问的风险。安全公告指出:“Docker Desktop 中存在一个漏洞,...
数百个 Docker 容器镜像中隐藏漏洞,下载量高达数十亿次
Rezilion发现了数百个Docker容器镜像的存在,这些镜像包含了大多数标准漏洞扫描器和SCA工具都没有检测到的漏洞。 研究发现,数百个Docker容器镜像中隐藏着许多高危险性/关键性的漏洞,这些容器镜像的下载量合计达数十亿次。其中包括已被公开的高知名漏洞。 一些隐藏的漏洞在野外被积极利用,这些漏洞是CISA已知被利用漏洞合集中的一部分,包括CVE-2021-42013、CVE-2021-41773、CVE-2019-17558。...
Black Hat 2017 议题:新型攻击向量技术 LAS VEGAS 可利用 Docker API 植入恶意软件
据外媒 7 月 27 日报道,Aqua Security 安全研究人员 Sagie Dulce 将在 Black Hat 大会上首次展示新型攻击向量技术 LAS VEGAS,允许黑客滥用云计算平台 Docker API 植入、隐藏、存储恶意软件,远程执行任意代码。 LAS VEGAS 是开发人员用于创建与测试 Docker 容器的一款程序,通过在 Windows 下默认设置安装 Docker 平台 API 实施攻击。实现该技术分为三个阶段:
第一阶段:诱导运行 Windows Docker 的开发人员访问托管 JavaScript 特制程序的恶意网页。与此同时,...