CVE-2020-8871

Parallels Desktop, versões 15.1.0-47107 a 15.1.2

Esta vulnerabilidade permite que invasores locais obtenham privilégios elevados nas instalações afetadas. Para explorar essa vulnerabilidade, o invasor deve primeiro obter a capacidade de executar código com privilégios elevados no sistema convidado alvo. A falha específica existe no dispositivo virtual VGA. O problema resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode resultar em uma gravação além do fim de um buffer alocado. Um invasor pode aproveitar essa vulnerabilidade para escalar privilégios e executar código no contexto do hipervisor.

Para as versões 15.1.0-47107 a 15.1.2 do Parallels Desktop, atualize para a versão 15.1.3 (47255) ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao dispositivo virtual VGA até que um patch seja aplicado.