Gli sviluppatori di Teamviewer avvertono di una vulnerabilità di sicurezza nel client Teamviewer. Gli aggressori con privilegi limitati possono connettersi ad altri utenti, estendendo così i propri privilegi. È disponibile un aggiornamento del client che corregge il problema.
annuncio
In Gli sviluppatori di Teamviewer scrivono un avviso di sicurezzaL'accesso per impostare una password personale non richiede diritti di amministratore. Ciò consente agli utenti con diritti limitati su sistemi multiutente di accedere al client per impostare una password personale. Ciò consente loro di ottenere l'accesso remoto ad altri utenti che sono attualmente connessi al sistema (CVE-2024-0819, CVSS 7.3“rischio”alto“).
Teamviewer: estensione dei diritti tramite password personale
IL La voce Contrasto all’estremismo violento spiega le conseguenze in modo più chiaro: La configurazione predefinita inappropriata in Teamviewer Remote Client prima della 15.51.5 per Linux, macOS e Windows consente agli utenti con privilegi limitati di aumentare i propri diritti modificando la password personale e creando una sessione di accesso remoto a un account amministratore che ha effettuato l'accesso.
Gli sviluppatori di Teamviewer spiegano che i client con l'impostazione “Le modifiche richiedono diritti di amministratore su questo computer” o altre funzioni di sicurezza attivate e configurate correttamente non sono vulnerabili. Raccomandano esplicitamente di garantire un facile accesso per l'accesso non supervisionato attraverso l'autenticazione a due fattori. Se desideri comunque utilizzare una password personale per questo scopo, assicurati di seguire le istruzioni e di utilizzare una password complessa.
Teamviewer Remote Full Client e Teamviewer Remote Host sono disponibili nella versione 15.51.5 con bug risolti Pagina download aziendale Pronto per il download. I responsabili IT e gli utenti di Teamviewer dovrebbero installare rapidamente l'aggiornamento.
Molti prodotti software di manutenzione remota sono stati recentemente colpiti da problemi di sicurezza. I criminali informatici sono riusciti a penetrare nei sistemi di produttività Anydesk. D'altro canto RustDesk ha dovuto rimuovere il driver perché attualmente è dotato solo di un certificato di test per sviluppatori e il certificato per sviluppatori è installato in modo affidabile in Windows.
(il tuo sangue)
“Pensatore incurabile. Appassionato di cibo. Studioso di alcol sottilmente affascinante. Difensore della cultura pop.”
More Stories
Passkey: chiave di sicurezza FIDO2 con spazio per 300 passkey
L'app mobile di Google supporterà presto gli emoji vocali (tramite VoicePad)
Gemelli: Google apre estensioni di intelligenza artificiale per i servizi Google