近期，安全領域的焦點再度聚焦于蘋果macOS平臺上一款備受歡迎的虛擬機軟件——Parallels Desktop。安全研究員Mykola Grymalyuk去年揭露了該軟件存在的一個嚴重安全漏洞，編號為CVE-2024-34331，該漏洞允許攻擊者提升權限至系統(tǒng)最高級別。

面對這一威脅，Parallels公司在去年4月迅速響應，發(fā)布了19.3.1版本更新，旨在修復這一提權漏洞。然而，近日安全研究員Mickey Jin發(fā)表觀點稱，Parallels的官方補丁并未完全解決問題，黑客仍然能夠找到方法繞過這些安全措施，繼續(xù)實施攻擊。

Mickey Jin在深入研究Mykola Grymalyuk披露的信息后指出，Parallels針對CVE-2024-34331漏洞的補丁存在一個關鍵漏洞。該補丁主要驗證一個名為createinstallmedia的工具是否由蘋果公司簽名，一旦確認簽名有效，便授予其root權限。然而，黑客可以利用這一機制，將普通系統(tǒng)賬戶權限提升至root級別。

Mickey Jin詳細闡述了黑客可能采取的兩種攻擊方式。第一種是利用時間檢查與使用（TOCTOU）窗口進行攻擊。在虛擬化平臺處理簽名驗證的過程中，黑客可以替換為惡意版本的createinstallmedia工具，從而繞過安全機制。第二種方法則直接針對簽名驗證機制本身，通過向蘋果公司簽名的可執(zhí)行文件中注入惡意dylib庫，以欺騙系統(tǒng)通過驗證。

值得注意的是，Mickey Jin曾向知名的漏洞懸賞項目Zero Day Initiative（ZDI）以及Parallels公司報告了這一發(fā)現(xiàn)。然而，盡管時間已經(jīng)過去半年，該漏洞仍未得到徹底修復。因此，Mickey Jin決定公開披露這一漏洞信息，并提醒廣大用戶保持警惕，避免潛在的安全風險。

這一事件再次凸顯了軟件安全的重要性，尤其是在處理敏感數(shù)據(jù)和關鍵業(yè)務的應用中。用戶應密切關注軟件更新和安全公告，確保及時采取必要的防護措施，以保障自身信息安全。