Parallels Desktop的制造商已針對影響其Parallels Desktop 16 for Mac軟件和所有舊版本的高危權限提升漏洞發布了解決方法。研究人員在4月份首次發現該漏洞的5個月后，提出了緩解建議。

　　據該公司稱，Parallels Desktop現在由私募股權巨頭KKR所有，目前擁有700萬用戶。它使得Mac用戶可以在他們的macOS上運行Windows、Linux和其他操作系統。

　　該漏洞允許在Parallels虛擬機（VM）中運行的惡意軟件訪問在軟件默認配置中共享的macOS文件。該軟件制造商表示，建議的修復需要由最終用戶手動執行，并且可能會給某些人帶來“不便”，同時還會降低產品性能。

　　周三的安全公告中首先廣泛披露了該漏洞的詳細信息。該漏洞（CVE-2021-34864）是由Parallels的WinAppHelper組件中的不當訪問控制引起的。據Parallels稱，該漏洞與該軟件的Parallels Tools相關，Parallels Tools是主機macOS與虛擬機操作系統之間通信的代理。

　　一個易于利用的漏洞

　　周三發布的另一份安全公告稱：“這個漏洞是由于缺乏適當的訪問控制造成的。攻擊者可以利用此漏洞在虛擬機管理程序的上下文中提升權限并執行任意代碼?！?/p>

　　通用漏洞評分系統3.0版將該漏洞的嚴重性評為高（8.8）。該公告還警告說，該漏洞利用所需的復雜程度“很低”。

　　Parallels 解釋道：“默認情況下，Parallels Desktop在Mac和VM之間共享文件和文件夾，因此用戶可以輕松地從虛擬機中運行的應用程序中打開macOS文件并將文檔保存到Mac?！薄按斯δ芟騐M公開用戶主文件夾。該文件夾可能包含惡意軟件可以訪問的配置文件、來自不同應用程序的緩存等?！?/p>

　　Parallels建議用戶通過重新配置軟件或升級到最新版本（8月10日發布的Parallels Desktop 17 for Mac）來緩解該漏洞。

　　根據漏洞的摘要描述：“Parallels Desktop 17 for Mac以及更新的版本不受影響。默認情況下，整個主文件夾不再與虛擬機共享，只有選定的文件夾會進行共享，如桌面、文檔、下載等。”

　　該公司補充說：“此漏洞允許本地惡意用戶提升對受影響的Parallels Desktop安裝的權限。攻擊者必須首先獲得在目標客戶系統上執行低特權代碼的能力，然后才能利用此漏洞?！?/p>

　　披露時間表

　　該漏洞最初是由安全研究人員Sunjoo Park和Jack Dates于4月8日在Trend Micro的Pawn2Own Austin活動期間發現的。據該活動的組織者稱，由于他們的努力，研究人員每人獲得了40,000美元。

　　8月10日，Parallels在其知識庫中發布了有關該漏洞的信息，標題為“在Parallels Desktop 16及更早版本中緩解ZDI-CAN-13543”。該帖子描述了他們在4月份的發現以及用戶為了保護自己而需要采取的緩解措施。周三，一些安全警報發布了該漏洞的識別號（CVE-2021-34864），并將其評為高危等級。

　　最壞的情況是，惡意軟件或威脅行為者破壞或逃脫Windows的虛擬實例，從而感染系統。Parallel 沒有回復記者就本文發表評論的請求。

　　不方便的修復

　　要緩解該漏洞，Parallels Desktop 16 for Mac用戶（和其他舊版本用戶）有多種選擇。第一個選項是升級到Parallels Desktop 17 for Mac，它沒有這個漏洞。目前尚不清楚受影響的客戶是否需要為標準版支付50美元的一次性升級費用，以通過升級來緩解該缺陷。

　　對于運行Parallels Desktop 16或更早版本軟件的客戶，該公司表示他們可用的修復程序將“減少軟件的功能”并造成“不便”，例如在跨虛擬機和主機macOS共享文檔時文件重復。

　　“如果你不打算在VM中運行不受信任的代碼，建議遵循常見的安全措施。”“如果您在VM中運行不受信任的代碼，并且希望將VM與Mac隔離，那么可以采取以下的措施。”

　　根據Parallels的說法，這些選項包括：

　　1. 如KB 6912中所述，禁用共享文件夾。共享配置文件功能也將被禁用，您將無法再在VM中打開Mac文件或將文件保存到Mac。點擊KB 6912了解更多信息。

　　2. 或者，按照KB 112942中的說明將VM與Mac隔離。隔離后，文件夾、文件、應用程序和外部驅動器不會在兩個操作系統之間共享。通常，VM無法訪問Mac上的任何信息。隔離虛擬機可提供最高級別的安全性。

　　雖然上述措施緩解了安全問題，但它也消除了Parallels的賣點之一：“在Mac和Windows之間無縫移動和共享內容?！?/p>

　　目前還不清楚將系統配置為將VM guest與主機操作系統隔離的macOS用戶是否可以緩解該漏洞。

　　研究人員傾向Parallels

　　雖然Parallels Desktop for Mac不是作為網絡安全研究工具銷售的，但許多網站推薦這種類型的使用場景。

　　Parallels只是macOS用戶運行備用操作系統的眾多虛擬機選項之一。其他包括Apple自己的Boot Camp功能、VirtualBox和VMWare for macOS。

　　最近，由于蘋果公司新推出的基于ARM的Mac電腦（其中包含M1芯片）中的Boot Camp已被刪除，人們對Parallels的興趣開始增加。在M1 Mac上安裝Windows 10需要Microsoft操作系統的ARM副本。

　　Apple軟件工程高級副總裁Craig Federighi在Daring Fireball播客中表示，Apple未來不打算支持基于ARM的Mac上的Boot Camp。

　　Parallels瞄準了這個機會，于4月14日發布了Parallels Desktop 16 for Mac更新，該更新支持帶有Apple M1芯片的Mac電腦。