TeamViewer corrige une faille permettant à un utilisateur de prendre le contrôle de la session d'un autre utilisateur

L’éditeur de logiciels de support à distance TeamViewer a publié un correctif pour résoudre une vulnérabilité permettant aux utilisateurs partageant une session de prendre le contrôle de l'ordinateur de l'autre sans autorisation.

TeamViewer est un logiciel qui permet de prendre la main sur un ordinateur sur lequel l’accès a été autorisé. Il permet aussi de filmer l’écran et de prendre des captures écran.

TeamViewer a confirmé l'existence de la vulnérabilité dès sa divulgation publique et a rapidement publié un correctif pour les utilisateurs de Windows le 05 décembre.

Pour qu’une session à distance fonctionne sur les deux machines, il faut un présentateur, celui qui affiche son écran et un spectateur, celui qui regarde l’écran du présentateur. Les deux interlocuteurs se partagent un code qui sécurise la communication. Cependant, un utilisateur de GitHub nommé « Gellin » a découvert une vulnérabilité dans TeamViewer. Elle permet de prendre la main sur la machine du spectateur. Et cela sans que ce dernier donne son autorisation.

Gellin a publié une démonstration, qui permet de modifier les autorisations TeamViewer via une simple librairie partagée (DLL). Cette vulnérabilité affecte les versions de TeamViewer fonctionnant sur Windows, macOS et les machines sous Linux.

Les utilisateurs qui ont configuré TeamViewer pour accepter les mises à jour automatiques recevront automatiquement le correctif. Les utilisateurs n'ayant pas activé les mises à jour automatiques recevront une notification concernant leur disponibilité.