Parallels在Parallels Desktop的Intel Mac上運行,惡意攻擊者可以在釋放Hotfix之前創建新的MacOS虛擬機,並聲稱已經發現了零日漏洞,可以允許惡意攻擊者獲得根特權。我們已通知您不要這樣做。有關更多詳細信息,請參見下文。
Alludo(以前是Corel)的子公司Parallels宣布將使用虛擬化軟件,該軟件允許用戶在Intel/Apple Silicon Macs上創建Windows,MacOS和Linux虛擬機。「平行桌面」該系列發布了一個支持頁面,說明已經發現了可以獲得根特權的漏洞。
> 2025年2月20日,一位獨立的安全研究人員發布了一項利用,該漏洞利用會影響Intel Mac用戶的最新版本的Parallels Desktop。
利用自然:具有訪問Mac但沒有根特權的攻擊者可以通過在Intel Mac計算機上利用Parallels Desktop MacOS VM創建例程來獲取root特權。在Intel Mac上運行的Parallels桌面的安全漏洞警報 - Parallels
Parallels說,該漏洞僅在Intel Mac上發現,並且不受Apple Silicon Mac的影響,但目前是最新的「與Mac v20.2.1的桌面相似之處和舊版本「Mac v19.4.1」看來它會受到影響,
Mac 20.2.1的Parallels桌面
該公司準備在2025年2月27日在2025年2月27日在2025年2月27日發布該脆弱性的熱五個桌面v20.2.2,並在2025年3月3日發布。新的虛擬機,直到我應用該更新為止。
hotfix發布日期
- Parallels Desktop 20.2.2: 2025年02月27日
- PALALLELS桌面19.4.2:2025年3月3日的周
現有的虛擬機不受影響。
平行桌面0天
順便說一句,發現了這種漏洞的米奇·金(Mickey Jin)於2024年6月在2024年7月與2024年7月修復了它。儘管它報告說存在可能繞過脆弱性的脆弱性,但它被無人看管超過七個月,因此2月20日,他們決定發布脆弱性的細節。
今天,我披露了一個0天的漏洞,該漏洞繞過了CVE-2024-34331的補丁。[…]
鑑於供應商在七個月以上(儘管事先披露)將這種漏洞尚未解決,但我選擇公開披露這項0天的利用。我的目標是提高意識並敦促用戶積極減輕風險,因為攻擊者可以利用這種缺陷。丟棄0天:Parallels桌面重新包裝根特權升級 - 米奇的博客
