Parallels Desktop的制造商已針對(duì)影響其Parallels Desktop 16 for Mac軟件和所有舊版本的高危權(quán)限提升漏洞發(fā)布了解決方法,。研究人員在4月份首次發(fā)現(xiàn)該漏洞的5個(gè)月后,，提出了緩解建議。

　　據(jù)該公司稱,，Parallels Desktop現(xiàn)在由私募股權(quán)巨頭KKR所有，目前擁有700萬用戶,。它使得Mac用戶可以在他們的macOS上運(yùn)行Windows,、Linux和其他操作系統(tǒng)。

　　該漏洞允許在Parallels虛擬機(jī)（VM）中運(yùn)行的惡意軟件訪問在軟件默認(rèn)配置中共享的macOS文件,。該軟件制造商表示,，建議的修復(fù)需要由最終用戶手動(dòng)執(zhí)行，并且可能會(huì)給某些人帶來“不便”,，同時(shí)還會(huì)降低產(chǎn)品性能,。

　　周三的安全公告中首先廣泛披露了該漏洞的詳細(xì)信息。該漏洞（CVE-2021-34864）是由Parallels的WinAppHelper組件中的不當(dāng)訪問控制引起的,。據(jù)Parallels稱,，該漏洞與該軟件的Parallels Tools相關(guān)，Parallels Tools是主機(jī)macOS與虛擬機(jī)操作系統(tǒng)之間通信的代理,。

　　一個(gè)易于利用的漏洞

　　周三發(fā)布的另一份安全公告稱：“這個(gè)漏洞是由于缺乏適當(dāng)?shù)脑L問控制造成的,。攻擊者可以利用此漏洞在虛擬機(jī)管理程序的上下文中提升權(quán)限并執(zhí)行任意代碼?！?/p>

　　通用漏洞評(píng)分系統(tǒng)3.0版將該漏洞的嚴(yán)重性評(píng)為高（8.8）,。該公告還警告說，該漏洞利用所需的復(fù)雜程度“很低”,。

　　Parallels 解釋道：“默認(rèn)情況下,，Parallels Desktop在Mac和VM之間共享文件和文件夾，因此用戶可以輕松地從虛擬機(jī)中運(yùn)行的應(yīng)用程序中打開macOS文件并將文檔保存到Mac,?！薄按斯δ芟騐M公開用戶主文件夾,。該文件夾可能包含惡意軟件可以訪問的配置文件、來自不同應(yīng)用程序的緩存等,?！?/p>

　　Parallels建議用戶通過重新配置軟件或升級(jí)到最新版本（8月10日發(fā)布的Parallels Desktop 17 for Mac）來緩解該漏洞。

　　根據(jù)漏洞的摘要描述：“Parallels Desktop 17 for Mac以及更新的版本不受影響,。默認(rèn)情況下,，整個(gè)主文件夾不再與虛擬機(jī)共享，只有選定的文件夾會(huì)進(jìn)行共享,，如桌面,、文檔、下載等,?！?/p>

　　該公司補(bǔ)充說：“此漏洞允許本地惡意用戶提升對(duì)受影響的Parallels Desktop安裝的權(quán)限。攻擊者必須首先獲得在目標(biāo)客戶系統(tǒng)上執(zhí)行低特權(quán)代碼的能力,，然后才能利用此漏洞,。”

　　披露時(shí)間表

　　該漏洞最初是由安全研究人員Sunjoo Park和Jack Dates于4月8日在Trend Micro的Pawn2Own Austin活動(dòng)期間發(fā)現(xiàn)的,。據(jù)該活動(dòng)的組織者稱,，由于他們的努力，研究人員每人獲得了40,000美元,。

　　8月10日,，Parallels在其知識(shí)庫中發(fā)布了有關(guān)該漏洞的信息，標(biāo)題為“在Parallels Desktop 16及更早版本中緩解ZDI-CAN-13543”,。該帖子描述了他們?cè)?月份的發(fā)現(xiàn)以及用戶為了保護(hù)自己而需要采取的緩解措施,。周三，一些安全警報(bào)發(fā)布了該漏洞的識(shí)別號(hào)（CVE-2021-34864）,，并將其評(píng)為高危等級(jí),。

　　最壞的情況是，惡意軟件或威脅行為者破壞或逃脫Windows的虛擬實(shí)例,，從而感染系統(tǒng),。Parallel 沒有回復(fù)記者就本文發(fā)表評(píng)論的請(qǐng)求,。

　　不方便的修復(fù)

　　要緩解該漏洞,，Parallels Desktop 16 for Mac用戶（和其他舊版本用戶）有多種選擇。第一個(gè)選項(xiàng)是升級(jí)到Parallels Desktop 17 for Mac,，它沒有這個(gè)漏洞,。目前尚不清楚受影響的客戶是否需要為標(biāo)準(zhǔn)版支付50美元的一次性升級(jí)費(fèi)用，以通過升級(jí)來緩解該缺陷,。

　　對(duì)于運(yùn)行Parallels Desktop 16或更早版本軟件的客戶,，該公司表示他們可用的修復(fù)程序?qū)ⅰ皽p少軟件的功能”并造成“不便”，例如在跨虛擬機(jī)和主機(jī)macOS共享文檔時(shí)文件重復(fù)。

　　“如果你不打算在VM中運(yùn)行不受信任的代碼,，建議遵循常見的安全措施,。”“如果您在VM中運(yùn)行不受信任的代碼,，并且希望將VM與Mac隔離,，那么可以采取以下的措施?！?/p>

　　根據(jù)Parallels的說法,，這些選項(xiàng)包括：

　　1. 如KB 6912中所述，禁用共享文件夾,。共享配置文件功能也將被禁用,，您將無法再在VM中打開Mac文件或?qū)⑽募４娴組ac。點(diǎn)擊KB 6912了解更多信息,。

　　2. 或者,，按照KB 112942中的說明將VM與Mac隔離。隔離后,，文件夾,、文件、應(yīng)用程序和外部驅(qū)動(dòng)器不會(huì)在兩個(gè)操作系統(tǒng)之間共享,。通常,，VM無法訪問Mac上的任何信息。隔離虛擬機(jī)可提供最高級(jí)別的安全性,。

　　雖然上述措施緩解了安全問題,，但它也消除了Parallels的賣點(diǎn)之一：“在Mac和Windows之間無縫移動(dòng)和共享內(nèi)容?！?/p>

　　目前還不清楚將系統(tǒng)配置為將VM guest與主機(jī)操作系統(tǒng)隔離的macOS用戶是否可以緩解該漏洞,。

　　研究人員傾向Parallels

　　雖然Parallels Desktop for Mac不是作為網(wǎng)絡(luò)安全研究工具銷售的，但許多網(wǎng)站推薦這種類型的使用場景,。

　　Parallels只是macOS用戶運(yùn)行備用操作系統(tǒng)的眾多虛擬機(jī)選項(xiàng)之一,。其他包括Apple自己的Boot Camp功能、VirtualBox和VMWare for macOS,。

　　最近,，由于蘋果公司新推出的基于ARM的Mac電腦（其中包含M1芯片）中的Boot Camp已被刪除，人們對(duì)Parallels的興趣開始增加,。在M1 Mac上安裝Windows 10需要Microsoft操作系統(tǒng)的ARM副本,。

　　Apple軟件工程高級(jí)副總裁Craig Federighi在Daring Fireball播客中表示，Apple未來不打算支持基于ARM的Mac上的Boot Camp,。

　　Parallels瞄準(zhǔn)了這個(gè)機(jī)會(huì),，于4月14日發(fā)布了Parallels Desktop 16 for Mac更新,，該更新支持帶有Apple M1芯片的Mac電腦。