Docker Desktop: Windows-Installer für Ausführung von Schadcode anfällig

Der Windows-Installer von Docker Desktop lässt sich falsche DLLs unterschieben. Die Entwickler steuern mit einer aktualisierten Software-Version gegen.

Die Schwachstelle verpasst nur knapp die Einstufung als kritisches Risiko. „Docker Desktop Installer.exe ist aufgrund einer unsicheren DLL-Suchreihenfolge für eine DLL-Injektion anfällig“, steht in der Schwachstellenbeschreibung. „Der Installer sucht nach benötigten DLLs im Download-Ordner der Nutzer, bevor er Systemverzeichnisse prüft, was lokale Rechteausweitung durch das Platzieren bösartiger DLLs ermöglicht“ (CVE-2025-9164 / EUVD-2025-36191, CVSS 8.8, Risiko „hoch„).

Docker schließt die Lücke mit Version 4.49.0. Die Release-Notes zur neuen Version weisen auf die Sicherheitslücke hin. Weitere Neuerungen umfassen etwa, dass „Docker Debug“ nun kostenlos für alle User nutzbar ist. Natürlich darf KI nicht fehlen, nun macht Docker cagent in Docker Desktop verfügbar, womit sich KI-Agenten erstellen, verwalten und teilen lassen sollen; cagent gilt jedoch noch als experimentell.

Aktualisierte Komponenten und Fehlerkorrekturen

Das aktualisierte Installationspaket enthält zudem aufgefrischte Komponenten: Docker Engine ist in Version 28.5.1 an Bord, Docker Compose in Fassung 2.40.2. Das Nvidia Container Toolkit ist auf Stand 1.17.9. Docker Debug lässt sich in Version 0.0.45 einsetzen.

Zu den Fehlerkorrekturen gehört, dass Docker Desktop jetzt keine abgelaufenen Proxy-Passwörter mehr nutzt, während es auf die Eingabe eines neuen Passworts wartet. Eine Fehlermeldung zu „chown“ beim Start von Docker Debug ist nun ebenfalls passé. Unter macOS konnte der Start von Kubernetes hängen bleiben, wenn andere Kubernetes-Kontexte bereits aktiv waren. Sofern eine Rosetta-Installation abgebrochen wird oder fehlschlägt, deaktiviert Docker Desktop Rosetta nun.

Für die Installation ist nun Mindestvoraussetzung macOS Sonoma (Version 14) oder neuer. In den Release-Notes weisen die Docker-Entwickler zudem darauf hin, dass die Unterstützung für Windows 10 21H2 sowie Windows 11 22H2 ausgelaufen ist. Ab dem kommenden Release ist mindestens Windows 10 22H2 oder Windows 11 23H2 für die Installation erforderlich.

Zuletzt haben die Entwickler im August eine kritische Sicherheitslücke in Docker Desktop geschlossen. Die ermöglichte bösartigen Akteuren, auf das Host-System zuzugreifen.

(dmk)