去年，安全研究员 Mykola Grymalyuk 曝光了苹果 macOS 平台上广受好评的 Parallels Desktop 虚拟机软件存在一项编号为 CVE-2024-34331 的提权漏洞。尽管 Parallels 在当年 4 月便已推出 19.3.1 版本进行修复，但最新消息显示，官方修补措施并不完全。

安全研究员 Mickey Jin 指出，Parallels 针对 CVE-2024-34331 推出的补丁主要验证名为 createinstallmedia 的工具是否具备苹果公司签名。一旦确认经过苹果公司签署，便会赋予 root 权限以供后续使用。然而，黑客可以利用这一机制，通过两种方式绕过补丁：一是在通过签名验证后，利用检查时间与使用时间（TOCTOU）之间的时间差进行攻击；二是在苹果公司签名的可执行文件中注入恶意 dylib 库以绕过验证流程。

Mickey Jin 已向漏洞悬赏项目 Zero Day Initiative（ZDI）及 Parallels 报告此事，但时隔半年该漏洞仍未彻底修复，因此他决定公开披露相应漏洞，并呼吁用户提高警惕。