Une faille a été découverte dans Parallels Desktop, un outil de virtualisation très populaire sur Mac, et elle permet de lancer une application en douce avec les droits root (et même si elle n'est pas signée). Si vous avez un Mac Intel — la faille ne touche pas les Mac ARM —, il est donc recommandé de mettre à jour le logiciel. Elle a été corrigée dans la version 19.3.1 du logiciel et la version 19.4 est sortie il y a quelques jours.
La faille touche toutes les versions de Parallels Desktop depuis la version 16.0 et elle est liée à une application Apple : createinstallmedia. Comme l'explique Mykola Grymalyuk sur son blog, Parallels passe en effet par un outil Apple pour la création de machines virtuelles de macOS. Et par la magie des fonctions UNIX de macOS (plus précisément la fonction Set UID bit), le programme d'Apple est lancé avec les droits root, hérités de l'exécution de Parallels. En remplaçant l'outil Apple par une autre application, cette dernière peut donc être exécutée avec les droits les plus élevés.
La faille ne touche que les Mac Intel pour une raison très simple, qui ne vient pas d'une sécurité plus faible que celle des Mac Apple Silicon : la façon dont est déployé macOS diffère et les Mac Apple Silicon n'utilisent tout simplement pas createinstallmedia. De même, comme l'explique Mykola, VMware Fusion n'a pas le problème car le concurrent de Parallels ne passe pas par le programme d'Apple1. Pour rappel, il est devenu gratuit pour un usage personnel récemment alors que Parallels Desktop 19 vaut une centaine d'euros.
VMware Fusion Pro devient gratuit pour un usage personnel
La page de présentation de la faille montre qu'elle permettait de lancer n'importe quelle application assez facilement avec les droits root (les plus élevés), ce qui était évidemment un gros problème. Comme expliqué plus haut, elle a été corrigée à la fin du mois d'avril.
-
Il note par ailleurs que la solution maison de VMware Fusion fonctionne mal avec les versions récentes de macOS. ↩︎
