Questa vulnerabilità consente agli aggressori locali di rivelare informazioni sensibili sulle installazioni interessate di Parallels Desktop 15.1.1-47117. Un utente malintenzionato deve prima ottenere la possibilità di eseguire codice con privilegi elevati sul sistema guest di destinazione al fine di sfruttare la vulnerabilità. Il difetto specifico esiste all’interno del componente xHCI. I problema deriva dalla mancanza di un’adeguata validazione dei dati forniti dall’utente, che può risultare in una lettura oltre la fine di un buffer allocato. Un utente malintenzionato può sfruttare questo in collaborazione con altre vulnerabilità per eseguire codice nel contesto del hypervisor. Era ZDI-CAN-9428.
https://www.zerodayinitiative.com/advisories/ZDI-20-293/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8872