ParallelsがIntel MacでmacOS仮想マシン作成時にroot権限が取得される可能性があるゼロデイ脆弱性を修正した「Parallels Desktop v20.2.2」をリリースしています。詳細は以下から。
Alludo(旧Corel)傘下のParallelsは現地時間2025年02月27日、同社が開発するIntel/Apple Silicon Mac対応の仮想化ソフトウェア「Parallels Desktop」シリーズにおいて、root権限を取得される可能性のある脆弱性を修正したHotfix「Parallels Desktop 20 for Mac v20.2.2 (Build 55879)」をリリースしたと発表しています。
Parallels Desktop 20.2.2(55879)のアップデートでは、Intel Macに影響する重大なセキュリティ問題が修正されました。お使いの Mac の安定性と安全性を確保するため、このアップデートのインストールを強くお勧めします。
リリースノートより
今回修正されのは2024年06月にParallelsが修正したと報告している脆弱性(CVE-2024-34331)をバイパスできる脆弱性により、Intel Mac上でmacOS仮想マシンの新規作成時にホストMacのroot権限が取得されるというもので、
Parallels Desktop v20.2.1を介して取得されたroot権限
この脆弱性はセキュリティ研究者のMickey Jinさんにより2024年07月にParallels側に報告されたものの、7ヶ月以上放置され連絡もなかったためゼロデイ脆弱性として詳細が公開されており、既にPoC(Exploit 1と2)が公開されているため、ParallelsはParallels Desktop v20を利用しているIntel Macユーザーに対しアップデートを強く勧めています。
追記
なお、この脆弱性は2024年Parallels Desktop 19.xでも確認されており、Parallelsは同じくHotfixとなる「Parallels Desktop 19.4.2」を03月上旬にリリースすると発表しています。
Hotfixのリリース予定日
- Parallels Desktop 20.2.2 : 2025年02月27日
- Parallels Desktop 19.4.2 : 2025年03月03日の週
コメント