| Title | Windows 用の TeamViewer デスクトップにおける引用されない検索パスまたは要素に関する脆弱性 |
|---|---|
| Summary | Windows 用の TeamViewer デスクトップには、引用されない検索パスまたは要素に関する脆弱性が存在します。 |
| Possible impacts | 情報を取得される、情報を改ざんされる、およびサービス運用妨害 (DoS) 状態にされる可能性があります。 |
| Solution | ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | July 28, 2020, midnight |
| Registration Date | Oct. 13, 2020, 6:14 p.m. |
| Last Update | Nov. 8, 2021, 3:15 p.m. |
| CVSS3.0 : 重要 | |
| Score | 8.8 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
| CVSS2.0 : 警告 | |
| Score | 6.8 |
|---|---|
| Vector | AV:N/AC:M/Au:N/C:P/I:P/A:P |
| TeamViewer GmbH |
| TeamViewer 15.8.3 未満 (Windows) |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2020年10月13日] 掲載 |
Oct. 13, 2020, 6:14 p.m. |
| 2 | [2021年11月08日] 参考情報:ICS-CERT ADVISORY (ICSA-21-308-01) を追加 参考情報:JVN (JVNVU#98988538) を追加 |
Nov. 8, 2021, 2:35 p.m. |
| Summary | TeamViewer Desktop for Windows before 15.8.3 does not properly quote its custom URI handlers. A malicious website could launch TeamViewer with arbitrary parameters, as demonstrated by a teamviewer10: --play URL. An attacker could force a victim to send an NTLM authentication request and either relay the request or capture the hash for offline password cracking. This affects teamviewer10, teamviewer8, teamviewerapi, tvchat1, tvcontrol1, tvfiletransfer1, tvjoinv8, tvpresent1, tvsendfile1, tvsqcustomer1, tvsqsupport1, tvvideocall1, and tvvpn1. The issue is fixed in 8.0.258861, 9.0.258860, 10.0.258873, 11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350, and 15.8.3. |
|---|---|
| Publication Date | July 30, 2020, 1:15 a.m. |
| Registration Date | Jan. 26, 2021, 11:52 a.m. |
| Last Update | Nov. 21, 2024, 2:01 p.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:teamviewer:teamviewer:*:*:*:*:*:*:*:* | 15.8.3 | ||||
| execution environment | |||||
| 1 | cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:* | ||||