Beveiligingslek in TeamViewer omzeilde toestemmingscontrole

In dit artikel:

TeamViewer heeft een kwetsbaarheid gepatcht die ingelogde gebruikers onder bepaalde omstandigheden ongeautoriseerde systeemtoegang kon verschaffen zonder dat de lokale gebruiker eerst toestemming gaf. Het bedrijf publiceerde de informatie in een security bulletin en bracht een software-update uit om het lek te dichten.

De fout zat in onvoldoende toegangscontroles van de Full- en Host-clients op Windows, macOS en Linux. Daardoor konden extra beveiligingschecks die normaal na expliciete bevestiging moeten plaatsvinden worden omzeild tijdens een actieve remote-sessie. Voor misbruik moest een aanvaller wel al geauthenticeerd zijn in TeamViewer. De zwakke plek is vastgelegd als CVE-2026-23572, heeft een CVSS-score van 7,2 en wordt door TeamViewer als hoog risico aangemerkt. Alle versies ouder dan 15.74.5 zijn kwetsbaar; update naar 15.74.5 of later verhelpt het probleem volledig en wordt dringend aanbevolen.

Als tijdelijke maatregel adviseert TeamViewer strengere instellingen voor inkomende verbindingen zodat besturing pas na expliciete toestemming wordt toegestaan, maar het bulletin benadrukt dat juist zulke controles onderdeel van de omzeiling waren—waardoor patchen prioriteit heeft. Er zijn momenteel geen aanwijzingen voor actief misbruik. Dit voorval volgt op eerdere beveiligingsproblemen rond TeamViewer, onder meer de in december gerapporteerde zwakheden in TeamViewer DEX.