Angreifer können ihre Rechte durch ein Sicherheitsleck in Docker Desktop für Windows ausweiten. Ein Update korrigiert das.
Aktualisierte Softwarepakete von Docker Desktop schließen eine Sicherheitslücke, durch die Angreifer ihre Rechte im System ausweiten können. Betroffen ist die Windows-Version der Container-Softtware.
In den Release-Notes schreiben die Docker-Entwickler, dass die Version 4.41.0 eine Sicherheitslücke schließt, die Angreifern mit Zugriff auf die Maschine die Ausweitung der Zugriffsrechte ermöglicht, wenn Docker Desktop Updates installiert (CVE-2025-3224, CVSS 7.3, Risiko “hoch“).
Update-Prozess als Einfallstor
Bei einem Update versucht Docker Desktop, Dateien und Unterordner im Pfad “C:\ProgramData\Docker\config” mit erhöhten Rechten zu löschen. Standardmäßig existiert dieses Verzeichnis jedoch meistens nicht. “C:\ProgramData\” erlaubt zudem Nutzern mit einfachen Zugriffsrechten, eine bösartige “Docker\config”-Ordnerstruktur zu erstellen. Dadurch können Angreifer den privilegierten Update-Prozess dazu bringen, beliebige Systemdateien zu löschen oder manipulieren, was in erhöhten Rechten mündet.
Eine Beschreibung, wie mit Löschen von Dateien eine Rechteausweitung allgemein funktioniert, liefert die Trend Micros Zero-Day-Initiative. Die aktualisierte Fassung bringt einige weitere Neuerungen. Docker Desktop ist nun etwa in Microsofts App-Store erhältlich – was etwa dafür praktisch ist, dass der Store die lokal installierte Software selbständig aktualisiert.
Die oben verlinkten Release-Notes zählen zudem zahlreiche kleinere Bugfixes und Erweiterungen auf. Einige betreffen alle unterstützten Plattformen, etwa, dass DockerVMM eine ausufernde Anzahl offener Datei-Handles auf dem Host-System erzeugt hat. Unter macOS soll ein Fehler ausgebessert worden sein, der für eine erhöhte CPU-Last gesorgt hat. Neben dem Download und der Installation aus dem Microsoft Store bieten die Docker-Entwickler direkte Downloads der aktualisierten Docker-Desktop-Installationsdatei etwa für Windows, Windows ARM, Mac mit Apple Silicon, Intel-Mac sowie fertige Pakete für Debian, als RPM oder Arch an.