Das Fernwartungsprogramm
Teamviewer soll gecachte Passwörter künftig nach fünf Minuten wieder löschen, wie das Unternehmen gegenüber "Heise Security"
erklärt. Dies als Reaktion auf die letzte Woche bekannt gewordene Sicherheitslücke (CVE-2018-143333), die es Angreifern erlaubt, das Verbindungspasswort aus dem Speicher zu lesen, bis der Teamviewer-Client geschlossen wird.
Sicherheitsforscher hatten festgestellt, dass beim Verbindungsaufbau mit Teamviewer das Passwort des Rechners der ferngesteuert werden soll, nur beim ersten Mal eingegeben werden muss. Bei weiteren Verbindungsversuchen füllt Teamviewer automatisch das entsprechende Eingabefeld aus, sofern die Anwendung nicht zwischenzeitlich geschlossen wurde. Dazu speichert das Programm das Passwort für diesen Zweck zwischenzeitlich, was von Angreifern unter Umständen ausgenutzt werden kann. Betroffen von der Sicherheitslücke sind alle Versionen bis 13.1.3629.
(swe)
