Notebookcheck Logo

Luka w zabezpieczeniach aplikacji Telegram Messenger dla systemu Windows umożliwiała wykonanie kodu po kliknięciu wideo

Luka została znaleziona w wersji Telegram Messenger dla systemu Windows (obraz: stworzony przy użyciu Dall-E 3).
Luka została znaleziona w wersji Telegram Messenger dla systemu Windows (obraz: stworzony przy użyciu Dall-E 3).
Prosty błąd ortograficzny w kodzie źródłowym aplikacji Telegram Messenger dla systemu Windows pozwolił atakującym ominąć ostrzeżenie bezpieczeństwa. Umożliwiło to automatyczne wykonywanie skryptów Pythona po kliknięciu linku podszywającego się pod wideo.
Security Software Open Source Windows

Aplikacja dla systemu Windows znanego komunikatora Telegram zawiera w swoim kodzie źródłowym listę rozszerzeń plików, dla których wyświetlane jest ostrzeżenie bezpieczeństwa po kliknięciu takiego pliku. Obejmuje to na przykład pliki wykonywalne systemu Windows, dla których aplikacja Telegram dla systemu Windows wyświetla następujące ostrzeżenie: "Ten plik ma rozszerzenie .exe. Może on uszkodzić Państwa komputer. Czy na pewno chcą Państwo go uruchomić?

Takie okno dialogowe powinno również pojawić się dla skryptów wykonywalnych w języku programowania Python z rozszerzeniem .pyzw. Jednak błąd w pisowni (".pywz" zamiast ".pyzw") oznaczał, że żadne ostrzeżenie nie pojawiało się dla archiwów zip Pythona, ale kod był wykonywany bezpośrednio po kliknięciu łącza, pod warunkiem, że interpreter Pythona był dostępny w systemie Windows. Jeśli taki skrypt Pythona jest teraz zaciemniony na przykład typem pliku "video/mp4", plik wykonywalny pojawi się jako wideo w Telegram Messenger.

Obejście po stronie serwera jest już dostępne

W oświadczeniu dla Bleeping Computerprogramiści Telegrama powiedzieli: "Wystąpił [...] problem w Telegram Desktop, w którym użytkownik musiał kliknąć złośliwy plik, gdy interpreter Pythona był zainstalowany na jego komputerze. W przeciwieństwie do wcześniejszych doniesień, nie była to luka typu "zero-click", która mogła mieć wpływ tylko na niewielką część naszych użytkowników: Mniej niż 0,01% naszych użytkowników ma zainstalowany Python i korzysta z odpowiedniej wersji Telegram for Desktop".

Literówka w kodzie źródłowym na GitHub została już naprawiona przez zespół Telegram, ale zaktualizowana aplikacja dla systemu Windows z poprawionym kodem nie jest jeszcze dostępna. Deweloperzy komunikatora Telegram wdrożyli jednak również poprawkę po stronie serwera, co oznacza, że archiwa skryptów Pythona nie będą już wykonywane bezpośrednio w systemie Windows, nawet w starszych wersjach z błędem w kodzie, ale ostrzeżenie będzie wyświetlane tak jak w przypadku plików EXE.

Źródło(a)

Bleeping Computer przez Golem

Powiązane artykuły

SimpleX Chat w akcji (Źródło obrazu: SimpleX Chat)
Open-source'owy SimpleX Chat odnosi sukces tam, gdzie Telegram zawiódł 03/10/2024
Pavel Durov został oskarżony o "współudział w zarządzaniu platformą internetową w celu umożliwienia nielegalnych transakcji przez zorganizowaną grupę". (Źródło zdjęcia: Pavel Durov)
Francuska policja oskarża dyrektora generalnego Telegrama Pavla Durowa o ułatwianie korzystania z nielegalnych treści na platformie 29/08/2024
Dyrektorowi generalnemu Telegram grozi do 20 lat więzienia. Źródło zdjęcia: Pavel Durov
Dyrektor generalny Telegramu Pavel Durov aresztowany we Francji 26/08/2024
Auto SR początkowo ograniczone do komputerów Copilot+ AI z procesorami Snapdragon X Elite (Źródło obrazu: Microsoft i Qualcomm [edytowane])
Automatyczna super rozdzielczość dla gier Windows będzie dostępna tylko na komputerach Copilot+ AI ze Snapdragon X Elite w momencie premiery 22/05/2024
Użytkownicy systemu Windows mogą nie być w stanie połączyć się z VPN po najnowszej aktualizacji (Źródło obrazu: ExpressVPN)
Najnowsza aktualizacja systemu Windows firmy Microsoft przerywa łączność VPN 03/05/2024
Windows 10 osiąga 70,03% udziału w rynku (Źródło obrazu: Microsoft)
Windows 10 ma 70,03% udziału w rynku, podczas gdy Windows 11 nadal spada 02/05/2024
Windows 11 będzie teraz wyświetlał rekomendacje Sklepu - czytaj: reklamy - w menu Start, skłaniając wielu użytkowników do poważniejszego rozważenia przejścia na Linuksa. (Źródło obrazu: Microsoft)
Reklamy w menu Start systemu Windows 11 - już wkrótce na Państwa komputerach 25/04/2024
Zrzuty ekranu z grupy Telegram pokazują nagrania z kamer w sypialniach na sprzedaż
Zhakowane nagrania z kamer bezpieczeństwa z sypialni, garderoby i spa zostały wystawione na sprzedaż w grupie Telegram 22/12/2023
Please share our article, every link counts!
Mail Logo
> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2024 04 > Luka w zabezpieczeniach aplikacji Telegram Messenger dla systemu Windows umożliwiała wykonanie kodu po kliknięciu wideo
Alexander Pensler, 2024-04-15 (Update: 2024-04-15)