In cinque giorni Docker ha rilasciato due aggiornamenti consecutivi per Desktop: la 4.72.0 il 6 maggio e la 4.73.0 l'11 maggio. La prima contiene una correzione di sicurezza urgente nel kernel della VM Linux. La seconda è focalizzata su stabilità, con un fix rilevante per i Mac Apple Silicon.
CVE-2026-31431: escalation a root dentro la VM host
La vulnerabilità più importante della 4.72.0 riguarda l’isolamento del container rispetto alla VM Linux che Docker Desktop esegue su macOS. CVE-2026-31431 è una privilege escalation: un utente non privilegiato all’interno di un container riesce a ottenere privilegi root dentro la VM host tramite una scrittura controllata nella page cache del kernel.
La correzione è un backport di una patch upstream del kernel Linux che preveniva questo tipo di accesso alla page cache dell’host.
Il contesto è importante. Docker Desktop su Mac isola i container in una VM Linux, non direttamente sull’host macOS. Questo significa che l’escalation porta root nella VM, non sul sistema macOS dell’utente. Tuttavia, nei workflow in cui più container condividono la stessa VM host — scenari CI locali, ambienti di test multi-tenant, o stack Docker Compose complessi — root nella VM è già una superficie di attacco significativa: consente la lettura di volumi montati, la modifica dei processi degli altri container e l’accesso ai secret iniettati nell’ambiente.
Chi esegue immagini di terze parti non verificate nei propri stack dovrebbe considerare l’aggiornamento prioritario.
Logs view in GA e OpenAI Responses API in Model Runner
La 4.72.0 porta anche alcune novità operative. La vista Logs nell’interfaccia di Docker Desktop passa da beta a generally available: offre una visualizzazione centralizzata dei log dei container con filtri per Compose stack, utile per chi preferisce l’interfaccia grafica al terminale per il debug rapido.
Docker Model Runner guadagna il supporto per l’OpenAI Responses API, che aggiunge un’interfaccia compatibile con l’SDK OpenAI per chi vuole costruire applicazioni AI usando Model Runner come backend locale senza modificare il codice dell’applicazione. Nella stessa release, il supporto per vLLM Metal — che sfrutta il GPU Metal su Apple Silicon — era già stato introdotto nelle settimane precedenti e viene consolidato nella 4.72.0.
I componenti principali aggiornati nella 4.72.0: Docker Agent v1.50.0, Docker DHI v0.0.3, Docker Model Runner v1.1.37, Docker Credential Helpers v0.9.6.
Fine supporto RHEL 8: confermato con la 4.72.0
Come anticipato nella 4.71.0, il supporto per Red Hat Enterprise Linux 8 è terminato con questa release. Docker Desktop 4.72.0 richiede RHEL 9 o RHEL 10 per l’installazione su ambienti Red Hat. I team che usano Docker Desktop su macchine Linux con RHEL 8 — tipicamente ambienti di build condivisi o workstation aziendali — devono pianificare l’aggiornamento del sistema operativo.
4.73.0: il memory fix per Apple Silicon
La 4.73.0, rilasciata cinque giorni dopo, si concentra su stabilità. Il fix più rilevante per chi usa Docker su Mac è la correzione di un problema di consumo eccessivo di memoria su Apple Silicon: la VM Linux non restituiva correttamente al sistema host la memoria liberata dai container dopo la loro terminazione. Su sessioni di lavoro lunghe con molti container avviati e arrestati, il risultato era un aumento progressivo dell’uso di RAM che non si azzerava tra una sessione e l’altra.
Il comportamento era segnalato da diversi utenti M1, M2 e M3 nei forum Docker. La correzione agisce sul meccanismo con cui la VM gestisce la restituzione delle pagine libere al balloon driver dell’host.
Altri fix nella 4.73.0 che vale la pena notare:
- Risolto il crash di
Cmd+Qche non terminava completamente Docker Desktop ma lasciava processi in background. - Corrotta la gestione degli indirizzi IP sorgente nei container quando un altro container aveva connessioni in uscita attive sullo stesso range di subnet.
- Rimosso il traffico di rete non necessario verso
mcp.docker.comall’avvio di sessione. - Corretto un lock su containerd ref che bloccava i caricamenti successivi di immagini.
Docker Engine aggiornato alla v29.4.3 nella 4.73.0.
Come aggiornare
Docker Desktop si aggiorna automaticamente per default. Per verificare la versione installata: Docker Desktop > Settings > Software Updates oppure docker version nel terminale. Chi ha disabilitato gli aggiornamenti automatici deve scaricare manualmente l’installer da docker.com.
Il prossimo rilascio degno di attenzione sarà probabilmente correlato al ciclo WWDC26 di giugno: Docker Desktop tende ad aggiornare la compatibilità con le nuove versioni di macOS nelle settimane successive all’annuncio delle beta pubbliche.
