2021年8月更新 - 安全补丁

Ying_Q

大家好，

今天，我们发布了适用于 Windows、Linux 和 macOS 的 TeamViewer 15 的一些更新。

我们实施了以下修复：

• CVE-2021-34858：使用现有电视录制文件 (TVS) 进行安装容易受到文件解析问题的影响，该问题可能允许某人执行任意代码并可能导致二进制文件崩溃。用户交互以及第三方漏洞将被要求使用于远程开发。我们暂时没有发现任何滥用的迹象。我们感谢 Kdot 和 Trend Micro Zero Day Initiative 的负责任披露。
• CVE-2021-34859：在某些情况下，共享内存管理中的问题可能导致 TeamViewer 服务执行越界读取。利用本机需要访问机器。我们暂时没有发现任何滥用的迹象。我们感谢 Mat Powell 和 Trend Micro Zero Day Initiative 负责任的披露。
• [仅限 Windows]：默认情况下，TeamViewer 安装在受保护的 Program Files 目录中。如果用户有意选择将其安装在不同的位置，则某人将能够利用权限提升问题。我们暂时没有任何开发的启动。我们感谢 Maciej Miszczyk 负责任的披露。

请查看我们的更改日志(英文)，您会在我们的主页上找到可供下载的新版本：

TeamViewer 15: https://www.teamviewer.cn/cn/download/

编辑：该漏洞已于 2021 年 8 月 24 日在 v15.21.2 中得到修补，但由于误解，并未出现在最初的发行说明中。

低权限用户可以修改共享内存并导致 TeamViewer 服务执行越界读取。 然后，该服务将数据写入 TeamViewer 日志文件，攻击者可以在其中读取数据。

这样，攻击者就可以泄露服务进程的内存。 作为更大攻击的一部分，这可能对攻击者有用，最终可能导致在以 SYSTEM 身份运行的 TeamViewer 服务中执行任意代码。

我们没有任何在野外进行剥削的迹象。 我们感谢 Kharosx0 和趋势科技零日计划负责任的披露。 这是在 CVE-2021-35005 下进行跟踪的。 该漏洞已于 2021 年 8 月 24 日在 v15.21.2 中修复。

祝好！

英文公告 - August Updates - Security Patches