CVE-2019-18988

Versões do TeamViewer Desktop de 7.0.43148 a 14.7.1965

O problema está relacionado à implementação do algoritmo Advanced Encryption Standard (AES) no TeamViewer, que está associada a requisitos de senha fracos. A exploração desse problema pode permitir que um invasor contorne as restrições de segurança e obtenha acesso não autorizado a informações protegidas. Especificamente, o TeamViewer Desktop usa uma chave AES compartilhada para todas as instalações, que pode ser usada para descriptografar informações protegidas armazenadas no registro ou nos arquivos de configuração. Nas versões anteriores à 9.x, isso permitia que invasores descriptografassem a senha do Acesso Automático, possibilitando o login remoto no sistema. Embora a versão mais recente tenha alterado a forma como a senha de Acesso Automático é armazenada, ela ainda utiliza a mesma chave para OptionPasswordAES.

Para as versões do TeamViewer Desktop de 7.0.43148 a 14.7.1965, atualize para uma versão posterior a 14.7.1965 para mitigar o risco de exploração.

Como solução alternativa temporária, considere restringir o acesso ao registro e aos arquivos de configuração onde informações confidenciais são armazenadas.

Evite armazenar chaves de registro ou de configuração em locais acessíveis ao público, como compartilhamentos de arquivos ou armazenamento online.

No momento, não há informações sobre medidas de mitigação adicionais para esta questão específica.