CVE-2021-31431

Parallels Desktop versão 15.1.5-47309

Esta vulnerabilidade permite que invasores locais divulguem informações confidenciais nas instalações afetadas. Para explorar essa vulnerabilidade, o invasor deve primeiro obter a capacidade de executar código com privilégios elevados no sistema convidado alvo. A falha específica existe no dispositivo virtual IDE. O problema resulta da falta de validação adequada dos dados fornecidos pelo usuário, o que pode resultar em uma leitura além do fim de um buffer alocado. Um invasor pode aproveitar isso em conjunto com outras vulnerabilidades para escalar privilégios e executar código arbitrário no contexto do hipervisor.

Para o Parallels Desktop versão 15.1.5-47309, considere desativar o dispositivo virtual IDE como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao dispositivo vulnerável para minimizar o risco de exploração. Evite usar dados fornecidos pelo usuário no dispositivo afetado até que a vulnerabilidade seja resolvida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.