「Parallels Desktop」にゼロデイ脆弱性 ～以前実施した権限昇格対策が不十分との指摘

Mickey Jin氏のブログ

　MacでWindowsを実行できる仮想マシンアプリ「Parallels Desktop for Mac」で、複数のゼロデイ脆弱性が発見されたとのこと。実際に悪用が可能なことを示す概念実証（PoC）が公開されている。

　「Parallels Desktop」では昨年、インストーラーへの信頼を悪用したローカル権限昇格の脆弱性「CVE-2024-34331」が報告され、開発チームによって対策されたが、そのパッチが少なくとも2つの手法で迂回できてしまうという。

　1つ目の手法は、セキュリティ研究者のMykola Grymalyuk氏が2024年5月30日に明らかにし、Mickey Jin氏によってTrend MicroのZero Day Initiative（ZDI）へ報告された。しかし、ZDIが検証に取り掛かるのが遅かったせいか、「Parallels Desktop」のアップデート（v19.4.0→v19.4.1）で実証コードが機能しなくなり、脆弱性を再現できないとの返答しか得られなかった。

　そこでZDIは信用できないとして、2つ目の手法が2024年7月22日、Mickey Jin氏から「Parallels Desktop」の開発チームへ直接送られた。しかし、それから半年間反応がえられず、やむなく開示に踏み切ったという。

　Mickey Jin氏は現在、1つ目の手法を実演するビデオをYouTubeに公開している（v19.4.1の変更が巻き戻されたことにより、現在は悪用が可能になっているようだ）。