Parallels Desktop漏洞未完全修复，苹果macOS用户需警惕！

近期，安全领域的焦点再度聚焦于苹果macOS平台上一款备受欢迎的虚拟机软件——Parallels Desktop。安全研究员Mykola Grymalyuk去年揭露了该软件存在的一个严重安全漏洞，编号为CVE-2024-34331，该漏洞允许攻击者提升权限至系统最高级别。

面对这一威胁，Parallels公司在去年4月迅速响应，发布了19.3.1版本更新，旨在修复这一提权漏洞。然而，近日安全研究员Mickey Jin发表观点称，Parallels的官方补丁并未完全解决问题，黑客仍然能够找到方法绕过这些安全措施，继续实施攻击。

Mickey Jin在深入研究Mykola Grymalyuk披露的信息后指出，Parallels针对CVE-2024-34331漏洞的补丁存在一个关键漏洞。该补丁主要验证一个名为createinstallmedia的工具是否由苹果公司签名，一旦确认签名有效，便授予其root权限。然而，黑客可以利用这一机制，将普通系统账户权限提升至root级别。

Mickey Jin详细阐述了黑客可能采取的两种攻击方式。第一种是利用时间检查与使用（TOCTOU）窗口进行攻击。在虚拟化平台处理签名验证的过程中，黑客可以替换为恶意版本的createinstallmedia工具，从而绕过安全机制。第二种方法则直接针对签名验证机制本身，通过向苹果公司签名的可执行文件中注入恶意dylib库，以欺骗系统通过验证。

值得注意的是，Mickey Jin曾向知名的漏洞悬赏项目Zero Day Initiative（ZDI）以及Parallels公司报告了这一发现。然而，尽管时间已经过去半年，该漏洞仍未得到彻底修复。因此，Mickey Jin决定公开披露这一漏洞信息，并提醒广大用户保持警惕，避免潜在的安全风险。

这一事件再次凸显了软件安全的重要性，尤其是在处理敏感数据和关键业务的应用中。用户应密切关注软件更新和安全公告，确保及时采取必要的防护措施，以保障自身信息安全。