Ouvrir le menu principal

MacGeneration

Recherche

Une faille dangereuse touche Parallels Desktop, c'est le moment de mettre à jour

Pierre Dandumont

jeudi 30 mai 2024 à 19:56 • 10

Logiciels

Une faille a été découverte dans Parallels Desktop, un outil de virtualisation très populaire sur Mac, et elle permet de lancer une application en douce avec les droits root (et même si elle n'est pas signée). Si vous avez un Mac Intel — la faille ne touche pas les Mac ARM —, il est donc recommandé de mettre à jour le logiciel. Elle a été corrigée dans la version 19.3.1 du logiciel et la version 19.4 est sortie il y a quelques jours.

La faille permet de lancer un programme avec les droits root.

La faille touche toutes les versions de Parallels Desktop depuis la version 16.0 et elle est liée à une application Apple : createinstallmedia. Comme l'explique Mykola Grymalyuk sur son blog, Parallels passe en effet par un outil Apple pour la création de machines virtuelles de macOS. Et par la magie des fonctions UNIX de macOS (plus précisément la fonction Set UID bit), le programme d'Apple est lancé avec les droits root, hérités de l'exécution de Parallels. En remplaçant l'outil Apple par une autre application, cette dernière peut donc être exécutée avec les droits les plus élevés.

La faille ne touche que les Mac Intel pour une raison très simple, qui ne vient pas d'une sécurité plus faible que celle des Mac Apple Silicon : la façon dont est déployé macOS diffère et les Mac Apple Silicon n'utilisent tout simplement pas createinstallmedia. De même, comme l'explique Mykola, VMware Fusion n'a pas le problème car le concurrent de Parallels ne passe pas par le programme d'Apple1. Pour rappel, il est devenu gratuit pour un usage personnel récemment alors que Parallels Desktop 19 vaut une centaine d'euros.

VMware Fusion Pro devient gratuit pour un usage personnel

VMware Fusion Pro devient gratuit pour un usage personnel

La page de présentation de la faille montre qu'elle permettait de lancer n'importe quelle application assez facilement avec les droits root (les plus élevés), ce qui était évidemment un gros problème. Comme expliqué plus haut, elle a été corrigée à la fin du mois d'avril.


  1. Il note par ailleurs que la solution maison de VMware Fusion fonctionne mal avec les versions récentes de macOS.  ↩︎

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Apple Intelligence dispo en France : toutes les nouvelles fonctions pour votre iPhone et votre Mac

31/03/2025 à 17:27

• 52


macOS 15.4 est disponible avec Apple Intelligence et les catégories dans Mail

31/03/2025 à 17:12

• 27


Adobe Substance 3D Painter abandonne les Mac Intel

31/03/2025 à 16:30

• 3


Ventes flash : un SSD externe 4 To autour de 200 € et d'autres bons plans sur le stockage

31/03/2025 à 16:23

• 31


Sauvegardez vos données avant qu’il ne soit trop tard

31/03/2025 à 15:30

• 28


Il va devenir de plus en plus compliqué de configurer Windows 11 sans compte Microsoft

31/03/2025 à 15:00

• 72


Fibre : Bouygues Telecom passe son Wi-Fi à la vitesse supérieure… ainsi que ses prix

31/03/2025 à 14:00

• 36


Comme prévu, l’ADSL est coupé aujourd’hui dans le centre-ville de Rennes

31/03/2025 à 12:17

• 67


Encadrement du pistage : Apple écope d’une amende de 150 millions d’euros pour abus de position dominante

31/03/2025 à 10:46

• 53


Promo : le Mac mini M4 avec 512 Go de stockage à 812 € au lieu de 949

31/03/2025 à 09:28

• 10


Guillaume Gete organise un séminaire de deux jours à Paris pour les gestionnaires de parcs Apple

31/03/2025 à 06:17

• 12


Synchronisez et sécurisez vos appareils Apple avec QNAP (Qsync & MyQNAPcloud Storage)📍

31/03/2025 à 06:00


iOS 18.4 : Google Maps peut remplacer Plans comme app par défaut

31/03/2025 à 05:28

• 64


L’app santé dopée à l’IA et les prochains produits M5 : la semaine Apple

30/03/2025 à 18:00

• 44


Faux mails : le guide pour sécuriser vos données 📍

30/03/2025 à 09:47


Sauvegarde en ligne : peut-on trouver mieux que Backblaze en 2025 ?

30/03/2025 à 08:00

• 53