Telegram виправив вразливість нульового дня у своїй настільній програмі Windows, яку можна було використовувати для обходу попереджень системи безпеки й автоматичного запуску сценаріїв Python. Про це повідомляє BleepingComputer.
Протягом останніх кількох днів на X і хакерських форумах ширилися чутки про нібито вразливість віддаленого виконання коду в Telegram для Windows.
Telegram швидко заперечив ці заяви, уточнюючи, що вони не можуть підтвердити існування такої вразливості.
Проте наступного дня на хакерському форумі XSS було поширено доказ концептуального експлойту, який пояснював, що помилку у вихідному коді Telegram для Windows можна використати для надсилання файлів Python .pyzw, які обходять попередження системи безпеки під час натискання.
Це призвело до того, що Python автоматично запустив файл без попередження від Telegram, як це робиться для інших виконуваних файлів, і мав би це зробити для цього файлу, якби не сталася помилка.
Що ще гірше, експлойт підтвердження концепції замаскував файл Python під спільне відео разом з ескізом, який можна було використати, щоб обманом змусити користувачів натиснути підроблене відео для його перегляду.
У заяві для BleepingComputer представник Telegram заперечив, що помилка була недоліком нульового дня, але підтвердив, що вони виправили проблему в Telegram для Windows, щоб запобігти автоматичному запуску сценаріїв Python після натискання.
«Чутки про існування в Telegram Desktop вразливості із нульовим кліком не відповідають дійсності. Деякі «експерти» рекомендували відключити автоматичне завантаження в Telegram. Проблем, які могли бути спровоковані автоматичним завантаженням, не було.
Однак у Telegram Desktop виникла проблема, яка вимагала від користувача натиснути на шкідливий файл, коли на комп’ютері було встановлено інтерпретатор Python. На відміну від попередніх звітів, це не була вразливість без кліків і вона могла вплинути лише на невелику частину нашої бази користувачів. Зауважимо, що менше 0,01% наших користувачів встановили Python і використовують відповідну версію Telegram для комп’ютера.
Було застосовано виправлення на стороні сервера, щоб гарантувати, що навіть ця проблема більше не повториться, тож у всіх версіях Telegram Desktop (включно зі всіма старішими) ця проблема більше не виникає», – йдеться у повідомленні.
Читайте також на ProIT: PHP падає в індексах популярності мов. Python – на перших місцях.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!