安全通告-TeamViewer全系版本空口令高危漏洞

发布时间:2020-08-20浏览次数:

漏洞描述

2020年08月10日,TeamViewer官方发布了TeamViewer URL处理的风险通告TeamViewer存在未引用的搜索路径或元素的安全缺陷,更具体地说,这是由于应用程序没有正确引用它的自定义URI处理程序,当安装了TeamViewer的易受攻击版本的用户访问恶意创建的网站时,可能会被黑客利用。

对此,建议广大用户及时将TeamViewer升级到15.8.3版本。同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

漏洞编号

CVE-2020-13699

漏洞危害

攻击者可以使用精心制作的URL将恶意iframe嵌入网站中,这将启动TeamViewer Windows桌面客户端并强制其执行以下操作:打开远程SMB共享。Windows在打开SMB共享时将执行NTLM身份验证,并且可以将请求进行转发(使用诸如响应程序之类的工具)以执行代码(或捕获以进行哈希破解)。

漏洞等级

高危

受影响版本

TeamViewer < 8.0.258861

TeamViewer < 9.0.28860

TeamViewer < 10.0.258873

TeamViewer < 11.0.258870

TeamViewer < 12.0.258869

TeamViewer < 13.2.36220

TeamViewer < 14.2.56676

TeamViewer < 15.8.3

修复方案

目前厂商已发布补丁修复了上述漏洞,请用户参考官方通告及时下载受影响产品更新补丁。补丁获取链接:

https://community.teamviewer.com/t5/Announcements/Statement-on-CVE-2020-13699/td-p/98448。

参考链接

1. https://community.teamviewer.com/t5/Announcements/Statement-on-CVE-2020-13699/td-p/98448

2. https://nvd.nist.gov/vuln/detail/CVE-2020-13699