Une faille dangereuse touche Parallels Desktop, c'est le moment de mettre à jour

Pierre Dandumont |

Une faille a été découverte dans Parallels Desktop, un outil de virtualisation très populaire sur Mac, et elle permet de lancer une application en douce avec les droits root (et même si elle n'est pas signée). Si vous avez un Mac Intel — la faille ne touche pas les Mac ARM —, il est donc recommandé de mettre à jour le logiciel. Elle a été corrigée dans la version 19.3.1 du logiciel et la version 19.4 est sortie il y a quelques jours.

La faille permet de lancer un programme avec les droits root.

La faille touche toutes les versions de Parallels Desktop depuis la version 16.0 et elle est liée à une application Apple : createinstallmedia. Comme l'explique Mykola Grymalyuk sur son blog, Parallels passe en effet par un outil Apple pour la création de machines virtuelles de macOS. Et par la magie des fonctions UNIX de macOS (plus précisément la fonction Set UID bit), le programme d'Apple est lancé avec les droits root, hérités de l'exécution de Parallels. En remplaçant l'outil Apple par une autre application, cette dernière peut donc être exécutée avec les droits les plus élevés.

La faille ne touche que les Mac Intel pour une raison très simple, qui ne vient pas d'une sécurité plus faible que celle des Mac Apple Silicon : la façon dont est déployé macOS diffère et les Mac Apple Silicon n'utilisent tout simplement pas createinstallmedia. De même, comme l'explique Mykola, VMware Fusion n'a pas le problème car le concurrent de Parallels ne passe pas par le programme d'Apple1. Pour rappel, il est devenu gratuit pour un usage personnel récemment alors que Parallels Desktop 19 vaut une centaine d'euros.

VMware Fusion Pro devient gratuit pour un usage personnel

VMware Fusion Pro devient gratuit pour un usage personnel

La page de présentation de la faille montre qu'elle permettait de lancer n'importe quelle application assez facilement avec les droits root (les plus élevés), ce qui était évidemment un gros problème. Comme expliqué plus haut, elle a été corrigée à la fin du mois d'avril.


  1. Il note par ailleurs que la solution maison de VMware Fusion fonctionne mal avec les versions récentes de macOS.  ↩︎

avatar Scooby-Doo | 

@Pierre Dandumont,

Une grosse faille de sécurité bouchée est toujours une excellente nouvelle !

👍

Après comme toujours, Apple pourrait corriger de son côté le fonctionnement de “createinstallmedia” pour Mac Intel !

Bon point pour les Mac Apple Silicon qui ne sont pas touchés…

👌

avatar lactel | 

Corrigé en 19.4 mais qui existe depuis la 16… donc si on a une 16, 17 ou 18 on doit acheter la nouvelle version ?

avatar pafofi | 

@lactel

Bonne question ! Ne pas la boucher pour les anciens utilisateurs serait un très bon argument supplémentaire pour aller chez VMWare. Me concernant, j’ai déjà fait le déménagement dès la sortie de leur version gratuite il y a 15 jours et sans aucun regret pour l’heure. Parallèles reste supérieur sur bien des aspects ergonomiques mais qui ne justifient pas les 100€ par an.

avatar raoolito | 

ben oui, sauf à avoir un maj sur les aciennes version, ce dont l’article ne parle pas, à verifier sur le site

avatar dtorette | 

Il est probable que d’autres programmes de virtualisation soient touchés. Je pense à Orbstack ou tart.run. C’est à Apple de boucher cette faille.

avatar cybercooll | 

Quelqu’un sait si Citrix workspace fonctionne sur parallels 19? Ça ne marche pas du tout sur la 18, et j’ai un bug bloquant sur la version Mac, les appli se lancent mais impossible de le donner le focus, la fenêtre reste invisible.
J’ai pas d’autre moyen pour accéder à un serveur en rdp😭

avatar raoolito | 

demandez à un IA generative

D'après les informations fournies dans les résultats de recherche, il semble que Citrix Workspace puisse fonctionner correctement avec Parallels Desktop 19, mais certains utilisateurs ont rencontré des problèmes avec la version 18.

Voici un résumé des points clés :

- Dans le résultat [5], un utilisateur demande si Citrix Workspace fonctionnera sur un MacBook Air M1 avec Parallels Desktop, car son employeur l'exige pour le travail à distance. Cela suggère que Parallels Desktop 19 (la dernière version) est compatible avec Citrix Workspace.

- Cependant, dans le résultat [3], un utilisateur rapporte des problèmes de performances horribles avec Citrix Workspace sur macOS 10.14, mais en réinstallant l'ancienne version Citrix Receiver 12.9.1, les problèmes ont été résolus[3]. Cela indique que Citrix Workspace avait des problèmes avec cette ancienne version de macOS.

- Le résultat [4] mentionne également des problèmes de rendu graphique avec Excel 2019 lors de l'utilisation de Citrix sur des Mac avec différentes versions de macOS et Citrix Receiver.

Donc en résumé, bien que Parallels Desktop 19 semble compatible avec Citrix Workspace selon [5], la version 18 avait apparemment des problèmes de performances et de rendu graphique sur certaines configurations, en particulier avec les anciennes versions de macOS[3][4]. Il est recommandé d'utiliser les dernières versions de Parallels Desktop, Citrix Workspace et macOS pour une meilleure expérience.

Citations:
[1] https://community.citrix.com/forums/topic/235176-problem-with-citrix-workspace-for-windows-and-multiple-monitors/
[2] https://www.reddit.com/r/Citrix/comments/11qynbv/workspace_install_issue_v2302/
[3] https://community.citrix.com/forums/topic/232045-citrix-workspace-performance-on-macos-1014/
[4] https://community.citrix.com/forums/topic/236569-desktop-session-graphic-rendering-issue/
[5] https://www.reddit.com/r/MacOS/comments/1985qse/parallels_desktop_remote_work_with_citrix_on_m1/

avatar gasova | 

Depuis le rachat de VmWare par Broadcom, les éditions Pro sont gratuits pour un usage personnel. C'est le top, plus besoin d'une license Parallels hors de prix pour un usage ponctuel.

avatar Faabb | 

Mince, j’ai pas prévu de mettre à jour ma licence de parallels desktop 17.
: /

avatar eTeks | 

En plus, en passant à la version 19, on perd le support de Windows 2000, XP, Vista, 7, 8 et 8.1. Pas cool pour le support de vieilles configs :(

CONNEXION UTILISATEUR