Уразливість обходить попередній патч для CVE-2024-34331, і оскільки компанія Parallels не випускала патч вже більше семи місяців, дослідник опублікував доказ концепції (PoC).
Уразливість міститься у repack_osx_install_app.sh—скрипті, що використовується для перезапаковки інсталяторів macOS. Jin виявив два способи обходу перевірки підпису Apple, що дозволяють виконати код із правами root. Дослідник представив дві експлуатації уразливості:
1. TOCTOU-атака дозволяє підміняти createinstallmedia і виконувати будь-які команди з root-правами.
2. Зловживання do_repack_manual у Parallels 19.4.1 для перепризначення шляху встановлення macOS, що відкриває доступ до кореневих каталогів і дозволяє виконувати код.
Mickey Jin повідомив про проблему 31 травня 2024 через Zero Day Initiative (ZDI), але команда не змогла відтворити експлойт на останній версії. Повторний звіт у Parallels від 22 липня 2024 теж не приніс результатів—розробники проігнорували запити.
Розчарований відсутністю реакції, Jin заявив:
> “Оскільки Parallels грає в глухоніму, я змушений опублікувати 0-day експлойт”.
Відмова Parallels від вирішення проблеми створює критичний ризик для користувачів macOS. Дослідники з кібербезпеки закликають до негайного випуску патчу, оскільки PoC вже оприлюднено, і загроза є реальною.
