Parallels在Parallels Desktop的Intel Mac上运行,恶意攻击者可以在释放Hotfix之前创建新的MacOS虚拟机,并声称已经发现了零日漏洞,可以允许恶意攻击者获得根特权。我们已通知您不要这样做。有关更多详细信息,请参见下文。
Alludo(以前是Corel)的子公司Parallels宣布将使用虚拟化软件,该软件允许用户在Intel/Apple Silicon Macs上创建Windows,MacOS和Linux虚拟机。「平行桌面」该系列发布了一个支持页面,说明已经发现了可以获得根特权的漏洞。
> 2025年2月20日,一位独立的安全研究人员发布了一项利用,该漏洞利用会影响Intel Mac用户的最新版本的Parallels Desktop。
利用自然:具有访问Mac但没有根特权的攻击者可以通过在Intel Mac计算机上利用Parallels Desktop MacOS VM创建例程来获取root特权。在Intel Mac上运行的Parallels桌面的安全漏洞警报 - Parallels
Parallels说,该漏洞仅在Intel Mac上发现,并且不受Apple Silicon Mac的影响,但目前是最新的「与Mac v20.2.1的桌面相似之处和旧版本「Mac v19.4.1」看来它会受到影响,
Mac 20.2.1的Parallels桌面
该公司准备在2025年2月27日在2025年2月27日在2025年2月27日发布该脆弱性的热五个桌面v20.2.2,并在2025年3月3日发布。新的虚拟机,直到我应用该更新为止。
hotfix发布日期
- Parallels Desktop 20.2.2: 2025年02月27日
- PALALLELS桌面19.4.2:2025年3月3日的周
现有的虚拟机不受影响。
平行桌面0天
顺便说一句,发现了这种漏洞的米奇·金(Mickey Jin)于2024年6月在2024年7月与2024年7月修复了它。尽管它报告说存在可能绕过脆弱性的脆弱性,但它被无人看管超过七个月,因此2月20日,他们决定发布脆弱性的细节。
今天,我披露了一个0天的漏洞,该漏洞绕过了CVE-2024-34331的补丁。[…]
鉴于供应商在七个月以上(尽管事先披露)将这种漏洞尚未解决,但我选择公开披露这项0天的利用。我的目标是提高意识并敦促用户积极减轻风险,因为攻击者可以利用这种缺陷。丢弃0天:Parallels桌面重新包装根特权升级 - 米奇的博客