Ouvrir le menu principal

MacGeneration

Recherche

Une faille dangereuse touche Parallels Desktop, c'est le moment de mettre à jour

Pierre Dandumont

jeudi 30 mai 2024 à 21:56 • 10

Logiciels

Une faille a été découverte dans Parallels Desktop, un outil de virtualisation très populaire sur Mac, et elle permet de lancer une application en douce avec les droits root (et même si elle n'est pas signée). Si vous avez un Mac Intel — la faille ne touche pas les Mac ARM —, il est donc recommandé de mettre à jour le logiciel. Elle a été corrigée dans la version 19.3.1 du logiciel et la version 19.4 est sortie il y a quelques jours.

La faille permet de lancer un programme avec les droits root.

La faille touche toutes les versions de Parallels Desktop depuis la version 16.0 et elle est liée à une application Apple : createinstallmedia. Comme l'explique Mykola Grymalyuk sur son blog, Parallels passe en effet par un outil Apple pour la création de machines virtuelles de macOS. Et par la magie des fonctions UNIX de macOS (plus précisément la fonction Set UID bit), le programme d'Apple est lancé avec les droits root, hérités de l'exécution de Parallels. En remplaçant l'outil Apple par une autre application, cette dernière peut donc être exécutée avec les droits les plus élevés.

La faille ne touche que les Mac Intel pour une raison très simple, qui ne vient pas d'une sécurité plus faible que celle des Mac Apple Silicon : la façon dont est déployé macOS diffère et les Mac Apple Silicon n'utilisent tout simplement pas createinstallmedia. De même, comme l'explique Mykola, VMware Fusion n'a pas le problème car le concurrent de Parallels ne passe pas par le programme d'Apple1. Pour rappel, il est devenu gratuit pour un usage personnel récemment alors que Parallels Desktop 19 vaut une centaine d'euros.

VMware Fusion Pro devient gratuit pour un usage personnel

VMware Fusion Pro devient gratuit pour un usage personnel

La page de présentation de la faille montre qu'elle permettait de lancer n'importe quelle application assez facilement avec les droits root (les plus élevés), ce qui était évidemment un gros problème. Comme expliqué plus haut, elle a été corrigée à la fin du mois d'avril.


  1. Il note par ailleurs que la solution maison de VMware Fusion fonctionne mal avec les versions récentes de macOS.  ↩︎

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Pour le producteur de La Maison, « Apple est la pire boîte marketing de l’univers »

00:08

• 23


Upscaling vidéo et restauration photo plus rapides sur Mac/PC : VideoProc AI mis à jour est à - 62 % 📍

25/04/2025 à 17:44

• 0


Derniers jours Apple week à la Fnac : -10 % sur des MacBook Pro, iPhone 15 Pro à 16 Pro Max et iPad Pro M4

25/04/2025 à 16:00

• 6


dav1d, le décodeur AV1 le plus optimisé qu'Apple refuse d'utiliser

25/04/2025 à 14:00

• 3


Microsoft a conçu une publicité par IA et personne n’a rien vu

25/04/2025 à 13:45

• 22


Razer lance sa première souris ergonomique verticale face à Logitech

25/04/2025 à 12:15

• 9


Yahoo! veut acheter Chrome

25/04/2025 à 10:45

• 32


Slate veut repartir de zéro avec un pick-up électrique compact et épuré pour moins de 20 000 $

25/04/2025 à 10:00

• 100


iPadOS 19 verrait apparaître une barre de menus sur iPad

25/04/2025 à 09:24

• 47


Huit ans après DeX, Apple s’ouvrirait peu à peu à un bureau sur écran externe pour iOS 19

25/04/2025 à 09:23

• 48


John Giannandrea aurait aussi perdu l'équipe en charge de la robotique chez Apple

25/04/2025 à 07:39

• 10


Les procès antitrust contre les GAFAM se poursuivent aux USA, malgré les changements de présidence

24/04/2025 à 21:30

• 27


Prise en main de Supercharge, l’app à tout faire qui rend bien des services sur le Mac

24/04/2025 à 20:30

• 17


TSMC annonce la gravure en 1.4 nm, quand la Russie espère atteindre les 28 nm en 2030

24/04/2025 à 20:20

• 55


Données personnelles : comment Incogni supprime ce que les autres ne peuvent pas 📍

24/04/2025 à 18:17

• 0


Amazon va fêter ses 25 ans en France avec une semaine de promos du 30 avril au 6 mai

24/04/2025 à 17:30

• 18