Parallels Desktop的制造商已針對影響其Parallels Desktop 16 for Mac軟件和所有舊版本的高危權(quán)限提升漏洞發(fā)布了解決方法。研究人員在4月份首次發(fā)現(xiàn)該漏洞的5個月后，提出了緩解建議。

　　據(jù)該公司稱，Parallels Desktop現(xiàn)在由私募股權(quán)巨頭KKR所有，目前擁有700萬用戶。它使得Mac用戶可以在他們的macOS上運(yùn)行Windows、Linux和其他操作系統(tǒng)。

　　該漏洞允許在Parallels虛擬機(jī)（VM）中運(yùn)行的惡意軟件訪問在軟件默認(rèn)配置中共享的macOS文件。該軟件制造商表示，建議的修復(fù)需要由最終用戶手動執(zhí)行，并且可能會給某些人帶來“不便”，同時還會降低產(chǎn)品性能。

　　周三的安全公告中首先廣泛披露了該漏洞的詳細(xì)信息。該漏洞（CVE-2021-34864）是由Parallels的WinAppHelper組件中的不當(dāng)訪問控制引起的。據(jù)Parallels稱，該漏洞與該軟件的Parallels Tools相關(guān)，Parallels Tools是主機(jī)macOS與虛擬機(jī)操作系統(tǒng)之間通信的代理。

　　一個易于利用的漏洞

　　周三發(fā)布的另一份安全公告稱：“這個漏洞是由于缺乏適當(dāng)?shù)脑L問控制造成的。攻擊者可以利用此漏洞在虛擬機(jī)管理程序的上下文中提升權(quán)限并執(zhí)行任意代碼。”

　　通用漏洞評分系統(tǒng)3.0版將該漏洞的嚴(yán)重性評為高（8.8）。該公告還警告說，該漏洞利用所需的復(fù)雜程度“很低”。

　　Parallels 解釋道：“默認(rèn)情況下，Parallels Desktop在Mac和VM之間共享文件和文件夾，因此用戶可以輕松地從虛擬機(jī)中運(yùn)行的應(yīng)用程序中打開macOS文件并將文檔保存到Mac。”“此功能向VM公開用戶主文件夾。該文件夾可能包含惡意軟件可以訪問的配置文件、來自不同應(yīng)用程序的緩存等。”

　　Parallels建議用戶通過重新配置軟件或升級到最新版本（8月10日發(fā)布的Parallels Desktop 17 for Mac）來緩解該漏洞。

　　根據(jù)漏洞的摘要描述：“Parallels Desktop 17 for Mac以及更新的版本不受影響。默認(rèn)情況下，整個主文件夾不再與虛擬機(jī)共享，只有選定的文件夾會進(jìn)行共享，如桌面、文檔、下載等。”

　　該公司補(bǔ)充說：“此漏洞允許本地惡意用戶提升對受影響的Parallels Desktop安裝的權(quán)限。攻擊者必須首先獲得在目標(biāo)客戶系統(tǒng)上執(zhí)行低特權(quán)代碼的能力，然后才能利用此漏洞。”

　　披露時間表

　　該漏洞最初是由安全研究人員Sunjoo Park和Jack Dates于4月8日在Trend Micro的Pawn2Own Austin活動期間發(fā)現(xiàn)的。據(jù)該活動的組織者稱，由于他們的努力，研究人員每人獲得了40,000美元。

　　8月10日，Parallels在其知識庫中發(fā)布了有關(guān)該漏洞的信息，標(biāo)題為“在Parallels Desktop 16及更早版本中緩解ZDI-CAN-13543”。該帖子描述了他們在4月份的發(fā)現(xiàn)以及用戶為了保護(hù)自己而需要采取的緩解措施。周三，一些安全警報(bào)發(fā)布了該漏洞的識別號（CVE-2021-34864），并將其評為高危等級。

　　最壞的情況是，惡意軟件或威脅行為者破壞或逃脫Windows的虛擬實(shí)例，從而感染系統(tǒng)。Parallel 沒有回復(fù)記者就本文發(fā)表評論的請求。

　　不方便的修復(fù)

　　要緩解該漏洞，Parallels Desktop 16 for Mac用戶（和其他舊版本用戶）有多種選擇。第一個選項(xiàng)是升級到Parallels Desktop 17 for Mac，它沒有這個漏洞。目前尚不清楚受影響的客戶是否需要為標(biāo)準(zhǔn)版支付50美元的一次性升級費(fèi)用，以通過升級來緩解該缺陷。

　　對于運(yùn)行Parallels Desktop 16或更早版本軟件的客戶，該公司表示他們可用的修復(fù)程序?qū)ⅰ皽p少軟件的功能”并造成“不便”，例如在跨虛擬機(jī)和主機(jī)macOS共享文檔時文件重復(fù)。

　　“如果你不打算在VM中運(yùn)行不受信任的代碼，建議遵循常見的安全措施。”“如果您在VM中運(yùn)行不受信任的代碼，并且希望將VM與Mac隔離，那么可以采取以下的措施。”

　　根據(jù)Parallels的說法，這些選項(xiàng)包括：

　　1. 如KB 6912中所述，禁用共享文件夾。共享配置文件功能也將被禁用，您將無法再在VM中打開Mac文件或?qū)⑽募４娴組ac。點(diǎn)擊KB 6912了解更多信息。

　　2. 或者，按照KB 112942中的說明將VM與Mac隔離。隔離后，文件夾、文件、應(yīng)用程序和外部驅(qū)動器不會在兩個操作系統(tǒng)之間共享。通常，VM無法訪問Mac上的任何信息。隔離虛擬機(jī)可提供最高級別的安全性。

　　雖然上述措施緩解了安全問題，但它也消除了Parallels的賣點(diǎn)之一：“在Mac和Windows之間無縫移動和共享內(nèi)容。”

　　目前還不清楚將系統(tǒng)配置為將VM guest與主機(jī)操作系統(tǒng)隔離的macOS用戶是否可以緩解該漏洞。

　　研究人員傾向Parallels

　　雖然Parallels Desktop for Mac不是作為網(wǎng)絡(luò)安全研究工具銷售的，但許多網(wǎng)站推薦這種類型的使用場景。

　　Parallels只是macOS用戶運(yùn)行備用操作系統(tǒng)的眾多虛擬機(jī)選項(xiàng)之一。其他包括Apple自己的Boot Camp功能、VirtualBox和VMWare for macOS。

　　最近，由于蘋果公司新推出的基于ARM的Mac電腦（其中包含M1芯片）中的Boot Camp已被刪除，人們對Parallels的興趣開始增加。在M1 Mac上安裝Windows 10需要Microsoft操作系統(tǒng)的ARM副本。

　　Apple軟件工程高級副總裁Craig Federighi在Daring Fireball播客中表示，Apple未來不打算支持基于ARM的Mac上的Boot Camp。

　　Parallels瞄準(zhǔn)了這個機(jī)會，于4月14日發(fā)布了Parallels Desktop 16 for Mac更新，該更新支持帶有Apple M1芯片的Mac電腦。