IT 之家 3 月 2 日音尘伊人成人网，安全参议员 Mykola Grymalyuk 旧年曝光苹果 macOS 平台广受好评的 Parallels Desktop 杜撰机软件存在一项编号为 CVE-2024-34331 的提权随意。

尽管 Parallels 在往日 4 月便已入部属手责罚，并为 Parallels Desktop 推出 19.3.1 版块，但当今安全参议员 Mickey Jin 裸露官方修补方法并不皆备，黑客仍可绕过干系补丁进行挫折。

加多撸

伊人成人网

安全参议员 Mickey Jin 指出，他在参议 Mykola Grymalyuk 发布的信息时发现 Parallels 针对 CVE-2024-34331 推出的补丁可被绕过，原因在于这些代码主要用于考证名为 createinstallmedia 的器具是否具备苹果公司签名，网曝黑料一朝证明经过苹果公司签署，便会赋予 root 权限以供后续使用。因此黑客很容易哄骗相应手法，将所掌捏的系统账户权限提高为 root 权限。

Mickey Jin 指出，天天好逼黑客至少有两种可行有狡计进行挫折。其中一种是在通过签名考证后，哄骗查验技能与使用技能（TOCTOU）之间的技能差进行挫折，即在杜撰化平台责罚考证经由时，替换为坏心版块的 createinstallmedia 达到挫折策动。

另一种花式则是针对签名考证机制早先，参议东谈主员指出这一关节与名为 anchor apple 的需求字符串相关，黑客可通过在苹果公司签名的可奉行文献中注入坏心 dylib 库以绕过考证经由。

IT 之家瞩目到伊人成人网，Mickey Jin 先后向随意赏格技俩 Zero Day Initiative（ZDI）以及 Parallels 讲明此事，但时隔半年该随意照旧未能澈底成立，因此他决定公开露出相应随意，并号召用户提高警惕。