CVE-2020-13699

TeamViewer Desktop para Windows, versões anteriores à 15.8.3

TeamViewer, versões 8.0 a 14.7

O problema está relacionado ao fato de os manipuladores de URI personalizados do TeamViewer não estarem devidamente entre aspas, permitindo que um site malicioso inicie o TeamViewer com parâmetros arbitrários, como teamviewer10: --play URL. Isso poderia forçar uma vítima a enviar uma solicitação de autenticação NTLM, que poderia ser retransmitida ou ter seu hash capturado para quebra de senha offline. Os componentes afetados incluem teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1 e tvvpn1.

Para o TeamViewer Desktop para Windows em versões anteriores à 15.8.3, atualize para a versão 15.8.3 ou posterior para resolver o problema.

Para as versões 8.0 a 14.7 do TeamViewer, atualize para a versão corrigida correspondente: 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676 ou 14.7.48350.

Como solução temporária, considere restringir o acesso ao manipulador de URI teamviewer10 vulnerável até que um patch esteja disponível.

Evite usar o parâmetro --play no endpoint da API afetado até que o problema seja resolvido.