3 月 2 日消息，安全研究員 Mykola Grymalyuk 去年曝光蘋(píng)果 macOS 平臺(tái)廣受好評(píng)的 Parallels Desktop 虛擬機(jī)軟件存在一項(xiàng)編號(hào)為 CVE-2024-34331 的提權(quán)漏洞。Parallels Desktop 漏洞未完全修復(fù)

近日，蘋(píng)果 macOS 虛擬機(jī)應(yīng)用 Parallels Desktop 被曝存在漏洞，且未完全修補(bǔ)。該漏洞允許惡意軟件繞過(guò) macOS 的安全機(jī)制，在虛擬機(jī)中運(yùn)行并感染宿主機(jī)。

漏洞詳情

該漏洞存在于 Parallels Desktop 的虛擬化引擎中，攻擊者可利用其在虛擬機(jī)中執(zhí)行任意代碼，進(jìn)而突破 macOS 的安全防護(hù)，感染宿主機(jī)。

影響范圍

所有版本的 Parallels Desktop 均受此漏洞影響，尤其是運(yùn)行 macOS Catalina 及更高版本的系統(tǒng)。

當(dāng)前狀態(tài)

Parallels 已發(fā)布補(bǔ)丁，但安全研究人員指出，漏洞并未完全修復(fù)，仍可能被利用。

建議措施

1. 更新 Parallels Desktop：確保安裝最新版本，以獲取部分修復(fù)。

2. 謹(jǐn)慎運(yùn)行虛擬機(jī)：避免在虛擬機(jī)中運(yùn)行不受信任的軟件。

3. 使用其他虛擬機(jī)軟件：考慮暫時(shí)使用 VMware Fusion 或 VirtualBox 等替代方案。

總結(jié)

Parallels Desktop 的漏洞尚未完全修復(fù)，用戶(hù)應(yīng)保持警惕，及時(shí)更新并采取防護(hù)措施，避免系統(tǒng)受到攻擊。Mickey Jin 先后向漏洞懸賞項(xiàng)目 Zero Day Initiative（ZDI）以及 Parallels 報(bào)告此事，但時(shí)隔半年該漏洞依然未能徹底修復(fù)，因此他決定公開(kāi)披露相應(yīng)漏洞，并呼吁用戶(hù)提高警惕。