Ouvrir le menu principal

MacGeneration

Recherche

Une faille dangereuse touche Parallels Desktop, c'est le moment de mettre à jour

Pierre Dandumont

jeudi 30 mai 2024 à 21:56 • 10

Logiciels

Une faille a été découverte dans Parallels Desktop, un outil de virtualisation très populaire sur Mac, et elle permet de lancer une application en douce avec les droits root (et même si elle n'est pas signée). Si vous avez un Mac Intel — la faille ne touche pas les Mac ARM —, il est donc recommandé de mettre à jour le logiciel. Elle a été corrigée dans la version 19.3.1 du logiciel et la version 19.4 est sortie il y a quelques jours.

La faille permet de lancer un programme avec les droits root.

La faille touche toutes les versions de Parallels Desktop depuis la version 16.0 et elle est liée à une application Apple : createinstallmedia. Comme l'explique Mykola Grymalyuk sur son blog, Parallels passe en effet par un outil Apple pour la création de machines virtuelles de macOS. Et par la magie des fonctions UNIX de macOS (plus précisément la fonction Set UID bit), le programme d'Apple est lancé avec les droits root, hérités de l'exécution de Parallels. En remplaçant l'outil Apple par une autre application, cette dernière peut donc être exécutée avec les droits les plus élevés.

La faille ne touche que les Mac Intel pour une raison très simple, qui ne vient pas d'une sécurité plus faible que celle des Mac Apple Silicon : la façon dont est déployé macOS diffère et les Mac Apple Silicon n'utilisent tout simplement pas createinstallmedia. De même, comme l'explique Mykola, VMware Fusion n'a pas le problème car le concurrent de Parallels ne passe pas par le programme d'Apple1. Pour rappel, il est devenu gratuit pour un usage personnel récemment alors que Parallels Desktop 19 vaut une centaine d'euros.

VMware Fusion Pro devient gratuit pour un usage personnel

VMware Fusion Pro devient gratuit pour un usage personnel

La page de présentation de la faille montre qu'elle permettait de lancer n'importe quelle application assez facilement avec les droits root (les plus élevés), ce qui était évidemment un gros problème. Comme expliqué plus haut, elle a été corrigée à la fin du mois d'avril.


  1. Il note par ailleurs que la solution maison de VMware Fusion fonctionne mal avec les versions récentes de macOS.  ↩︎

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

ChatGPT Agent : l’IA qui peut (vraiment) faire le boulot à votre place

17/07/2025 à 21:35

• 49


Blender 5 abandonnera les Mac Intel

17/07/2025 à 21:30

• 4


Razer lance le Core X V2, un boîtier Thunderbolt 5 pour eGPU… mais pas uniquement

17/07/2025 à 18:29

• 4


Cyberpunk 2077 est disponible sur Mac… si vous avez plus de 8 Go de RAM

17/07/2025 à 16:21

• 79


YouTube Premium Lite arrive en France à 7,99 € pour voir moins de pubs

17/07/2025 à 15:44

• 92


Logitech propose (enfin) une version USB-C de son récepteur Bolt, mais oublie l'Unifying

17/07/2025 à 12:32

• 41


Le crédit à 0 % sur l’Apple Store prolongé jusqu’à fin septembre : les iPhone 17 concernés ?

17/07/2025 à 11:03

• 9


2025 serait l'année de Linux sur desktop aux États-Unis

17/07/2025 à 10:52

• 48


Ce que vos données disent de vous... et de vos proches 📍

17/07/2025 à 09:00

• 0


xAI annonce des compagnons virtuels, entre midinette pour otaku et fans de Cinquante nuances de Grey

16/07/2025 à 23:30

• 40


Test du PlugBug 120 W : un chargeur de voyage qu’on n’oublie pas grâce à Localiser

16/07/2025 à 23:10

• 30


Un dock Thunderbolt 5 bien équipé proposé par Razer

16/07/2025 à 20:15

• 8


iPhone 17 : la future palette de couleurs déjà dans la nature ?

16/07/2025 à 20:13

• 26


Le Thermomix TM5 a été hacké, et il ne lance même pas Doom

16/07/2025 à 19:27

• 13


Vous avez peur pour vos données ? TeamGroup lance un SSD qui peut s'autodétruire

16/07/2025 à 17:56

• 14


macOS 12 Monterey bientôt obligatoire pour Google Chrome

16/07/2025 à 15:46

• 5