Los especialistas en ingeniería inversa de software de Zero Day Initiative han publicado un aviso sobre una vulnerabilidad de escalada de privilegios en Parallels Desktop, el software de máquina virtual más popular para el sistema macOS, diseñado para proporcionar servicios de máquina virtual de alto rendimiento para los usuarios de Apple.
Parallels Desktop tiene una vulnerabilidad de memoria fuera de los límites al implementar dispositivos VGA virtualizados. Los actores de amenazas pueden hacer que una máquina virtual se escape al ejecutar un programa especial dentro de la máquina virtual. Al explotar esta vulnerabilidad, los hackers pueden ejecutar código arbitrario en el host físico y obtener la autoridad de control del host. La falla fue identificada como CVE-2020-8871.
A pesar de que Parallels Desktop es uno de los programas de virtualización más populares para el sistema macOS, los expertos en ingeniería inversa de software mencionan que la vulnerabilidad no ha sido suficientemente investigada, por lo que se conocen pocos detalles al respecto, como explotación o potenciales consecuencias.
El pasado mes de noviembre, el investigador Reno Robert reportó múltiples errores en Parallels a Zero Day Initiative, una de estas fallas permitiría que un usuario local en el sistema operativo invitado pueda realizar una escalada de privilegios para ejecutar código en el host. La vulnerabilidad fue corregida en mayo pasado con el lanzamiento de la versión 15.1.3, y fue identificada como CVE-2020-8871, mencionan los especialistas en ingeniería inversa de software.
El Instituto Internacional de Seguridad Cibernética (IICS) considera que este reporte es de gran relevancia para los usuarios de Parallels Desktop, favoreciendo el análisis de fallas de seguridad en entornos de máquina virtual. Los desarrolladores aseguran que el Common Vulnerability Scoring System (CVSS) ha asignado puntajes bajos a esta falla de seguridad, los expertos mencionan que al tratarse de una falla de escalada de privilegios los desarrolladores deben lanzar un parxche de actualización a la brevedad.
Por ahora se desconoce la existencia de una solución alternativa para esta vulnerabilidad, por lo que se recomienda a los usuarios estar alertas sobre el lanzamiento de los parches de actualización oficiales. Más detalles sobre la vulnerabilidad podrían revelarse cuando la compañía decida que el riesgo de explotación ha sido mitigado por completo.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
