Parallels Desktop的制造商已針對影響其Parallels Desktop 16 for Mac軟件和所有舊版本的高危權(quán)限提升漏洞發(fā)布了解決方法。研究人員在4月份首次發(fā)現(xiàn)該漏洞的5個月后,，提出了緩解建議,。

　　據(jù)該公司稱，Parallels Desktop現(xiàn)在由私募股權(quán)巨頭KKR所有,，目前擁有700萬用戶。它使得Mac用戶可以在他們的macOS上運行Windows、Linux和其他操作系統(tǒng),。

　　該漏洞允許在Parallels虛擬機（VM）中運行的惡意軟件訪問在軟件默認(rèn)配置中共享的macOS文件。該軟件制造商表示,，建議的修復(fù)需要由最終用戶手動執(zhí)行,，并且可能會給某些人帶來“不便”，同時還會降低產(chǎn)品性能,。

　　周三的安全公告中首先廣泛披露了該漏洞的詳細信息,。該漏洞（CVE-2021-34864）是由Parallels的WinAppHelper組件中的不當(dāng)訪問控制引起的。據(jù)Parallels稱,，該漏洞與該軟件的Parallels Tools相關(guān),，Parallels Tools是主機macOS與虛擬機操作系統(tǒng)之間通信的代理。

　　一個易于利用的漏洞

　　周三發(fā)布的另一份安全公告稱：“這個漏洞是由于缺乏適當(dāng)?shù)脑L問控制造成的,。攻擊者可以利用此漏洞在虛擬機管理程序的上下文中提升權(quán)限并執(zhí)行任意代碼,。”

　　通用漏洞評分系統(tǒng)3.0版將該漏洞的嚴(yán)重性評為高（8.8）,。該公告還警告說,，該漏洞利用所需的復(fù)雜程度“很低”。

　　Parallels 解釋道：“默認(rèn)情況下,，Parallels Desktop在Mac和VM之間共享文件和文件夾,，因此用戶可以輕松地從虛擬機中運行的應(yīng)用程序中打開macOS文件并將文檔保存到Mac?！薄按斯δ芟騐M公開用戶主文件夾,。該文件夾可能包含惡意軟件可以訪問的配置文件、來自不同應(yīng)用程序的緩存等,?！?/p>

　　Parallels建議用戶通過重新配置軟件或升級到最新版本（8月10日發(fā)布的Parallels Desktop 17 for Mac）來緩解該漏洞。

　　根據(jù)漏洞的摘要描述：“Parallels Desktop 17 for Mac以及更新的版本不受影響,。默認(rèn)情況下,，整個主文件夾不再與虛擬機共享,，只有選定的文件夾會進行共享，如桌面,、文檔,、下載等?！?/p>

　　該公司補充說：“此漏洞允許本地惡意用戶提升對受影響的Parallels Desktop安裝的權(quán)限,。攻擊者必須首先獲得在目標(biāo)客戶系統(tǒng)上執(zhí)行低特權(quán)代碼的能力，然后才能利用此漏洞,?！?/p>

　　披露時間表

　　該漏洞最初是由安全研究人員Sunjoo Park和Jack Dates于4月8日在Trend Micro的Pawn2Own Austin活動期間發(fā)現(xiàn)的。據(jù)該活動的組織者稱,，由于他們的努力,，研究人員每人獲得了40,000美元。

　　8月10日,，Parallels在其知識庫中發(fā)布了有關(guān)該漏洞的信息,，標(biāo)題為“在Parallels Desktop 16及更早版本中緩解ZDI-CAN-13543”。該帖子描述了他們在4月份的發(fā)現(xiàn)以及用戶為了保護自己而需要采取的緩解措施,。周三,，一些安全警報發(fā)布了該漏洞的識別號（CVE-2021-34864），并將其評為高危等級,。

　　最壞的情況是,，惡意軟件或威脅行為者破壞或逃脫Windows的虛擬實例,，從而感染系統(tǒng),。Parallel 沒有回復(fù)記者就本文發(fā)表評論的請求。

　　不方便的修復(fù)

　　要緩解該漏洞,，Parallels Desktop 16 for Mac用戶（和其他舊版本用戶）有多種選擇,。第一個選項是升級到Parallels Desktop 17 for Mac，它沒有這個漏洞,。目前尚不清楚受影響的客戶是否需要為標(biāo)準(zhǔn)版支付50美元的一次性升級費用,，以通過升級來緩解該缺陷。

　　對于運行Parallels Desktop 16或更早版本軟件的客戶,，該公司表示他們可用的修復(fù)程序?qū)ⅰ皽p少軟件的功能”并造成“不便”,，例如在跨虛擬機和主機macOS共享文檔時文件重復(fù)。

　　“如果你不打算在VM中運行不受信任的代碼,，建議遵循常見的安全措施,。”“如果您在VM中運行不受信任的代碼,，并且希望將VM與Mac隔離,，那么可以采取以下的措施,。”

　　根據(jù)Parallels的說法,，這些選項包括：

　　1. 如KB 6912中所述,，禁用共享文件夾。共享配置文件功能也將被禁用,，您將無法再在VM中打開Mac文件或?qū)⑽募４娴組ac,。點擊KB 6912了解更多信息。

　　2. 或者,，按照KB 112942中的說明將VM與Mac隔離,。隔離后，文件夾,、文件,、應(yīng)用程序和外部驅(qū)動器不會在兩個操作系統(tǒng)之間共享。通常,，VM無法訪問Mac上的任何信息,。隔離虛擬機可提供最高級別的安全性。

　　雖然上述措施緩解了安全問題,，但它也消除了Parallels的賣點之一：“在Mac和Windows之間無縫移動和共享內(nèi)容,。”

　　目前還不清楚將系統(tǒng)配置為將VM guest與主機操作系統(tǒng)隔離的macOS用戶是否可以緩解該漏洞,。

　　研究人員傾向Parallels

　　雖然Parallels Desktop for Mac不是作為網(wǎng)絡(luò)安全研究工具銷售的,，但許多網(wǎng)站推薦這種類型的使用場景。

　　Parallels只是macOS用戶運行備用操作系統(tǒng)的眾多虛擬機選項之一,。其他包括Apple自己的Boot Camp功能,、VirtualBox和VMWare for macOS。

　　最近,，由于蘋果公司新推出的基于ARM的Mac電腦（其中包含M1芯片）中的Boot Camp已被刪除,，人們對Parallels的興趣開始增加。在M1 Mac上安裝Windows 10需要Microsoft操作系統(tǒng)的ARM副本,。

　　Apple軟件工程高級副總裁Craig Federighi在Daring Fireball播客中表示,，Apple未來不打算支持基于ARM的Mac上的Boot Camp。

　　Parallels瞄準(zhǔn)了這個機會,，于4月14日發(fā)布了Parallels Desktop 16 for Mac更新,，該更新支持帶有Apple M1芯片的Mac電腦。