Parallels、Intel Macで動作する「Parallels Desktop」においてroot権限が取得される可能性があるゼロデイ脆弱性が発見されたとしてHotfixが公開されるまで新しいmacOS仮想マシンの作成を控えるよう通知。

　ParallelsがIntel Macで動作する「Parallels Desktop」において、悪意のある攻撃者によりroot権限が取得される可能性があるゼロデイ脆弱性が発見されたとしてHotfixが公開されるまで新しいmacOS仮想マシンの作成を控えるよう通知しています。詳細は以下から。

　Alludo(旧Corel)傘下のParallelsは現地時間2025年02月25日、同社が開発するIntel/Apple Silicon Mac上にWindowsやmacOS、Linux仮想マシンを作成できる仮想化ソフトウェア「Parallels Desktop」シリーズにおいて、root権限を取得される可能性のある脆弱性が発見されたとしてサポートページを公開しています。

On 20 February 2025, an independent security researcher published an exploit that affects Intel Mac users on the latest versions of Parallels Desktop.
Exploit nature: an attacker who has access to the Mac, but doesn’t have root privileges can acquire ones by exploiting the Parallels Desktop macOS VM creation routine on Intel Mac computers.

Security vulnerability alert for Parallels Desktop running on Intel Macs – Parallels

　Parallelsによると、この脆弱性はIntel Macでのみ確認されており、Apple Silicon Macでは影響のないものの、現在最新の「Parallels Desktop for Mac v20.2.1」および旧バージョンの「Parallels Desktop for Mac v19.4.1」が影響を受けるそうで、

Parallels Desktop for Mac 20.2.1

同社は、この脆弱性を修正したHotfixとなるParallels Desktop v20.2.2を現地時間2025年02月27日に、v19.4.2を2025年03月3日の週にリリースする準備をしているため、そのアップデートを適用するまで新しい仮想マシンの作成を控えるようにコメントしています。

Hotfixのリリース予定日

• Parallels Desktop 20.2.2 : 2025年02月27日
• Parallels Desktop 19.4.2 : 2025年03月03日の週

Parallels Desktop 0 day

　ちなみに、この脆弱性を発見したMickey Jinさんは、2024年07月にParallelsが2024年06月に修正した脆弱性(CVE-2024-34331)をバイパスできる脆弱性があることを報告したものの7ヶ月以上放置されたため、02月20日に脆弱性の詳細の公開を決めたそうです。

Today, I am disclosing a 0-day vulnerability that bypasses the patch for CVE-2024-34331.[…]
Given that the vendor has left this vulnerability unaddressed for over seven months—despite prior disclosure—I have chosen to publicly disclose this 0-day exploit. My goal is to raise awareness and urge users to mitigate risks proactively, as attackers could leverage this flaw in the wild.

Dropping a 0 day: Parallels Desktop Repack Root Privilege Escalation – Mickey’s Blogs

追記

　Parallelsは現地時間2025年02月27日、この脆弱性(CVE-2024-34331)を修正した「Parallels Desktop 20 for Mac v20.2.2 (Build 55879)」をリリースしたと発表しています。

• Security vulnerability alert for Parallels Desktop running on Intel Macs – Parallels
• Dropping a 0 day: Parallels Desktop Repack Root Privilege Escalation – Mickey’s Blogs