Vulnérabilité dans Parallels
Date de publication :
Une vulnérabilité dans le processus de mise à jour de Parallels, une solution de virtualisation pour MacOS, a été découverte. Elle permet une élévation locale des privilèges ou une compromission du système à distance.
CVE-2020-7213 [Score CVSS v3 : 7.5] : Parallels 13 utilise le protocole HTTP dans le cadre du processus de mise à jour. Dans le cas où une nouvelle version est présente, le lien pour télécharger cette dernière est retourné par le serveur.
Un utilisateur local pourrait modifier la réponse du serveur de mise à jour pour simuler la présence d’une nouvelle version et installer un logiciel de son choix sur le système avec des privilèges administratifs.
De même, un attaquant distant qui a déjà effectué une attaque "homme du milieu" pourrait modifier la réponse du serveur pour installer un logiciel malveillant afin de compromettre le système.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Élévation des privilèges.
- Compromission du système.
Criticité
- Score CVSS v3 : 7.5
Existence d’un code d‘exploitation
- Aucun code d'exploitation n'est actuellement disponible.
Composants vulnérables
- Parallels 13
CVE
- CVE-2020-7213
Solutions ou recommandations
Mise en place de correctifs de sécurité
Aucun correctif de sécurité n’est encore disponible.
Solution de contournement
Aucune solution de contournement d’est disponible.