Parallels Desktop n’a pas correctement comblé la faille de sécurité révélée au printemps

Le chercheur en sécurité Mickey Jin a publié sur son blog deux méthodes pour exploiter une faille de sécurité dans Parallels Desktop, une faille que l’on pensait pourtant comblée depuis des mois. En effet, il s’agit de la même faille liée à l’installateur utilisé sur les Mac Intel qui permet d’obtenir un accès root dans macOS, un défaut révélé et normalement corrigé en mai 2024. Bien des mois plus tard, ce nouveau chercheur en sécurité dispose pourtant de deux méthodes pour l’exploiter, dont une qui fonctionne encore avec la dernière version de Parallels Desktop, comme il le prouve avec cette vidéo.

S’il publie cette faille « 0-day » (jamais connue jusque-là) sans attendre de mise à jour, c’est parce qu’il l’a découverte dès le 31 mai, le lendemain de la publication de la faille initiale. Il a immédiatement notifié Zero Day Initiative (ZDI), un organisme de Trend Micro qui récompense les chercheurs en sécurité pour les failles qu’ils dénichent. L’organisme a attendu six semaines avan...