Zero Day Exploit in Parallels Desktop entdeckt – Unternehmen reagiert nicht, Sicherheitslücke veröffentlicht

Mit dem Umstieg auf Intel-Chips konnten Käufer eines Mac fortan Mac OS X und Windows benutzen. Allerdings musste man sich beim Bootvorgang für eines der beiden Betriebssysteme entscheiden. Hier kommt Paralles Desktop ins Spiel, damit konnte man Windows virtualisieren und als Programmfenster laufen lassen. Nun wurde jedoch bekannt, dass es eine Sicherheitslücke gab und weil das Unternehmen nicht reagierte, wurde diese nun von einem Sicherheitsforscher veröffentlicht. 

Angreifer können Root-Rechte erlangen

Die Exploits nutzen eine Schwachstelle, die eine Rechteausweitung ermöglicht. Dieser im vergangenen Jahr gemeldete Bug (CVE-2024-34331) wurde von Parallels Desktop mit einem Update behoben. Doch genau dieser Patch ist unzureichend und lässt sich zu einfach umgehen, wie der Sicherheitsforscher Mickey Jin in seinem hauseigenen Blog beschreibt. Angreifer können über den Zero Day Exploit Root-Rechte in macOS zu erlangen – und damit die Kontrolle über den Computer zu übernehmen.

Parallels reagierte nicht

Jin habe den unzureichenden Sicherheitspatch umgehend an das Unternehmen und Zero Day Initiative (ZDI) gemeldet. Doch Parallels reagierte seitdem nicht mehr auf diese Sicherheitslücke und reagiert seit Ende Juli 2024 auch nicht mehr auf Rückfragen von Jin. Angesichts dessen hat sich der Sicherheitsforscher dazu entschieden, den Zero Day Exploit zu veröffentlichen. Er wolle damit ein Problembewusstsein schaffen und Kunden der Software dazu drängen, „Risiken proaktiv zu minimieren“, betonte der Sicherheitsforscher Mickey Jin.

 

 

 

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.