2021年8月更新 - 安全补丁

Ying_Q
Ying_Q 话题数:2,724 Moderator
最后编辑于 八月 2023 公告


大家好,

今天,我们发布了适用于 Windows、Linux 和 macOS 的 TeamViewer 15 的一些更新。

我们实施了以下修复:

  • CVE-2021-34858:使用现有电视录制文件 (TVS) 进行安装容易受到文件解析问题的影响,该问题可能允许某人执行任意代码并可能导致二进制文件崩溃。用户交互以及第三方漏洞将被要求使用于远程开发。我们暂时没有发现任何滥用的迹象。我们感谢 Kdot 和 Trend Micro Zero Day Initiative 的负责任披露。
  • CVE-2021-34859:在某些情况下,共享内存管理中的问题可能导致 TeamViewer 服务执行越界读取。利用本机需要访问机器。我们暂时没有发现任何滥用的迹象。我们感谢 Mat Powell 和 Trend Micro Zero Day Initiative 负责任的披露。
  • [仅限 Windows]:默认情况下,TeamViewer 安装在受保护的 Program Files 目录中。如果用户有意选择将其安装在不同的位置,则某人将能够利用权限提升问题。我们暂时没有任何开发的启动。我们感谢 Maciej Miszczyk 负责任的披露。


请查看我们的更改日志(英文),您会在我们的主页上找到可供下载的新版本:

TeamViewer 15: https://www.teamviewer.cn/cn/download/


编辑:该漏洞已于 2021 年 8 月 24 日在 v15.21.2 中得到修补,但由于误解,并未出现在最初的发行说明中。

低权限用户可以修改共享内存并导致 TeamViewer 服务执行越界读取。 然后,该服务将数据写入 TeamViewer 日志文件,攻击者可以在其中读取数据。

这样,攻击者就可以泄露服务进程的内存。 作为更大攻击的一部分,这可能对攻击者有用,最终可能导致在以 SYSTEM 身份运行的 TeamViewer 服务中执行任意代码。

我们没有任何在野外进行剥削的迹象。 我们感谢 Kharosx0 和趋势科技零日计划负责任的披露。 这是在 CVE-2021-35005 下进行跟踪的。 该漏洞已于 2021 年 8 月 24 日在 v15.21.2 中修复。


祝好!




英文公告 - August Updates - Security Patches

Community Moderator/中文社区管理员