搜索
Parallels Desktop权限提升漏洞修复不完全问题被曝光
2025-03-02
安全研究员Mykola Grymalyuk去年揭露了Parallels Desktop虚拟机软件存在的高危提权漏洞CVE-2024-34331,随后,Parallels公司发布了19.3.1版本来修复此漏洞。然而,近期安全研究员Mickey Jin发现该修复措施并不完善,攻击者仍能绕过补丁实施攻击。Mickey Jin指出,攻击者可利用时间检查到使用(TOCTOU)漏洞,将合法工具替换为恶意版本,或者向苹果签名的文件中注入恶意的dylib库,从而绕过签名验证机制。尽管Mickey Jin已向Parallels公司报告了这一问题,但漏洞尚未得到彻底解决。因此,他选择公开相关技术细节,并提醒用户注意潜在风险。
