我们都知道，TeamViewer是一款比较流行的远程控制软件，允许用户远程共享自己的计算机。用户可以在世界的任何一个角落通过TeamViewer远程控制他人的计算机或者让他人控制你的计算机。

图：TeamViewer的漏洞

在进行桌面共享时，需要双方同时在电脑或智能设备上运行TeamViewer。当你正确安装并运行后，TeamViewer会自动生成一个设备ID和随机密码，这个设备ID是唯一且固定不变的，但是密码可以根据自己的需要随时更改。如果需要他人连接你的计算机，只需要将ID和密码告知他人即可。相对的，如果你需要控制他人的计算机，也需要对方向你提供设备ID和密码。

但是最近，下载TeamViewer后发现存在一个漏洞，允许攻击者在未经授权的情况下获得对他人计算机的控制权。

这个漏洞是有Reddit用户“xpl0yt”首先公布的，影响到TeamViewer的Windows、macOS和Linux版本。TeamViewer官方也随机证实了漏洞的存在，并在周二为Windows用户发布了安全补丁。

一名代号为“Gellin”的GitHub用户还发布了一个概念证明代码，它是一个可注入的C++ DLL，能够利用裸线内挂钩和直接内存修改来更改TeamViewer权限。这样就允许了攻击者启用“切换双方”，从而获取他人计算机的控制权。

Gellin解释说，这个漏洞需要两个使用TeamViewer的用户先进行身份验证然后攻击者必须使用一个工具将PoC代码注入到他们的进程中。

Gellin指出，当然在受害者发现自己的计算机遭到了未经授权的控制时，可以通过结束会话来阻止攻击者。不过攻击者可以提前利用这个漏洞来禁用计算机的视频输出，强制计算机屏幕黑屏，进而隐藏其恶意活动。

TeamViewer官方表示，针对MacOS和Linux版本的安全补丁会在尽量短的时间内发布。

本文为原创，转载请注明网址：http://www.yuanchengxiezuo.com/zixun/xf-ld.html。