抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静通告

【漏洞通告】TeamViewer 任意代码执行漏洞(CVE-2021-34858)

宣布时间 2021-08-31

0x00 漏洞概述

CVE ID	CVE-2021-34858	时间	2021-08-24
类型	代码执行	等级	高危
远程利用	是	影响范围
攻击庞大度		可用性
用户交互	是	所需权限
PoC/EXP		在野利用	否

0x01 漏洞详情

TeamViewer是一个使用广泛的远程控制软件，它可以在任何防火墙和NAT署理的后台实现桌面共享和文件传输。

2021年8月24日，TeamViewer宣布更新通告，修复了TeamViewer中的一个任意代码执行漏洞（CVE-2021-34858）和一个越界读取漏洞（CVE-2021-34859），攻击者可以利用这些漏洞执行任意代码、导致二进制文件崩�；虻贾略浇缍寥�。

TeamViewer任意代码执行漏洞（CVE-2021-34858）

由于TeamViewer在使用现有TVS进行安装时容易受到文件解析问题的影响，攻击者可以利用此漏洞执行任意代码并导致二进制文件瓦解。但远程利用此漏洞需要用户交互以及第三方漏洞。

TeamViewer越界读取漏洞（CVE-2021-34859）

由于共享内存管理中存在宁静问题，导致TeamViewer服务执行越界读取。

影响范围

TeamViewe [Linux] < v15.21.4

TeamViewe [Windows] < v15.21.4

TeamViewe [macOS] < v15.21.2

[仅限 Windows]：默认情况下，TeamViewer 安装在受�；さ� Program Files 目录中。如果用户有意选择将其安装在其它位置，则攻击者将能够实现权限提升。

0x02 处置建议

目前此漏洞已经修复，建议及时升级更新到以下最新版本：

TeamViewe [Linux] v15.21.4

TeamViewe [Windows] v15.21.6

TeamViewe [macOS] v15.21.2

下载链接：

https://www.teamviewer.cn/cn/

0x03 参考链接

https://community.teamviewer.com/English/discussion/117791/linux-v15-21-4

https://community.teamviewer.com/English/categories/change-logs

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-34858

0x04 更新版本

版本	日期	修改内容
V1.0	2021-08-31	首次宣布

0x05 文档附录

CNVD：www.cnvd.org.cn

CNNVD：www.cnnvd.org.cn

CVE：cve.mitre.org

NVD：nvd.nist.gov

CVSS：www.first.org

0x06 关于抖圈为赌而生

关注以下公众号，获取更多资讯：

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号