Vulnérabilité dans Parallels

Une vulnérabilité dans le processus de mise à jour de Parallels, une solution de virtualisation pour MacOS, a été découverte. Elle permet une élévation locale des privilèges ou une compromission du système à distance.  

CVE-2020-7213 [Score CVSS v3 : 7.5] : Parallels 13 utilise le protocole HTTP dans le cadre du processus de mise à jour. Dans le cas où une nouvelle version est présente, le lien pour télécharger cette dernière est retourné par le serveur.

Un utilisateur local pourrait modifier la réponse du serveur de mise à jour pour simuler la présence d’une nouvelle version et installer un logiciel de son choix sur le système avec des privilèges administratifs. 

De même, un attaquant distant qui a déjà effectué une attaque "homme du milieu" pourrait modifier la réponse du serveur pour installer un logiciel malveillant afin de compromettre le système.

Informations
+

Risques

  • Élévation des privilèges.
  • Compromission du système. 

Criticité

  • Score CVSS v3 : 7.5

Existence d’un code d‘exploitation

  • Aucun code d'exploitation n'est actuellement disponible.

Composants vulnérables

  • Parallels 13

CVE

  • CVE-2020-7213

Recommandations
+

Mise en place de correctifs de sécurité

Aucun correctif de sécurité n’est encore disponible. 

Solution de contournement

Aucune solution de contournement d’est disponible.