近期，安全領(lǐng)域的焦點(diǎn)再度聚焦于蘋果macOS平臺(tái)上一款備受歡迎的虛擬機(jī)軟件——Parallels Desktop。安全研究員Mykola Grymalyuk去年揭露了該軟件存在的一個(gè)嚴(yán)重安全漏洞，編號(hào)為CVE-2024-34331，該漏洞允許攻擊者提升權(quán)限至系統(tǒng)最高級(jí)別。

面對(duì)這一威脅，Parallels公司在去年4月迅速響應(yīng)，發(fā)布了19.3.1版本更新，旨在修復(fù)這一提權(quán)漏洞。然而，近日安全研究員Mickey Jin發(fā)表觀點(diǎn)稱，Parallels的官方補(bǔ)丁并未完全解決問(wèn)題，黑客仍然能夠找到方法繞過(guò)這些安全措施，繼續(xù)實(shí)施攻擊。

Mickey Jin在深入研究Mykola Grymalyuk披露的信息后指出，Parallels針對(duì)CVE-2024-34331漏洞的補(bǔ)丁存在一個(gè)關(guān)鍵漏洞。該補(bǔ)丁主要驗(yàn)證一個(gè)名為createinstallmedia的工具是否由蘋果公司簽名，一旦確認(rèn)簽名有效，便授予其root權(quán)限。然而，黑客可以利用這一機(jī)制，將普通系統(tǒng)賬戶權(quán)限提升至root級(jí)別。

Mickey Jin詳細(xì)闡述了黑客可能采取的兩種攻擊方式。第一種是利用時(shí)間檢查與使用（TOCTOU）窗口進(jìn)行攻擊。在虛擬化平臺(tái)處理簽名驗(yàn)證的過(guò)程中，黑客可以替換為惡意版本的createinstallmedia工具，從而繞過(guò)安全機(jī)制。第二種方法則直接針對(duì)簽名驗(yàn)證機(jī)制本身，通過(guò)向蘋果公司簽名的可執(zhí)行文件中注入惡意dylib庫(kù)，以欺騙系統(tǒng)通過(guò)驗(yàn)證。

值得注意的是，Mickey Jin曾向知名的漏洞懸賞項(xiàng)目Zero Day Initiative（ZDI）以及Parallels公司報(bào)告了這一發(fā)現(xiàn)。然而，盡管時(shí)間已經(jīng)過(guò)去半年，該漏洞仍未得到徹底修復(fù)。因此，Mickey Jin決定公開(kāi)披露這一漏洞信息，并提醒廣大用戶保持警惕，避免潛在的安全風(fēng)險(xiǎn)。

這一事件再次凸顯了軟件安全的重要性，尤其是在處理敏感數(shù)據(jù)和關(guān)鍵業(yè)務(wù)的應(yīng)用中。用戶應(yīng)密切關(guān)注軟件更新和安全公告，確保及時(shí)采取必要的防護(hù)措施，以保障自身信息安全。