Notebookcheck Logo

Luka w zabezpieczeniach aplikacji Telegram Messenger dla systemu Windows umożliwiała wykonanie kodu po kliknięciu wideo

Luka została znaleziona w wersji Telegram Messenger dla systemu Windows (obraz: stworzony przy użyciu Dall-E 3).
Luka została znaleziona w wersji Telegram Messenger dla systemu Windows (obraz: stworzony przy użyciu Dall-E 3).
Prosty błąd ortograficzny w kodzie źródłowym aplikacji Telegram Messenger dla systemu Windows pozwolił atakującym ominąć ostrzeżenie bezpieczeństwa. Umożliwiło to automatyczne wykonywanie skryptów Pythona po kliknięciu linku podszywającego się pod wideo.
Security Software Open Source Windows

Aplikacja dla systemu Windows znanego komunikatora Telegram zawiera w swoim kodzie źródłowym listę rozszerzeń plików, dla których wyświetlane jest ostrzeżenie bezpieczeństwa po kliknięciu takiego pliku. Obejmuje to na przykład pliki wykonywalne systemu Windows, dla których aplikacja Telegram dla systemu Windows wyświetla następujące ostrzeżenie: "Ten plik ma rozszerzenie .exe. Może on uszkodzić Państwa komputer. Czy na pewno chcą Państwo go uruchomić?

Takie okno dialogowe powinno również pojawić się dla skryptów wykonywalnych w języku programowania Python z rozszerzeniem .pyzw. Jednak błąd w pisowni (".pywz" zamiast ".pyzw") oznaczał, że żadne ostrzeżenie nie pojawiało się dla archiwów zip Pythona, ale kod był wykonywany bezpośrednio po kliknięciu łącza, pod warunkiem, że interpreter Pythona był dostępny w systemie Windows. Jeśli taki skrypt Pythona jest teraz zaciemniony na przykład typem pliku "video/mp4", plik wykonywalny pojawi się jako wideo w Telegram Messenger.

Obejście po stronie serwera jest już dostępne

W oświadczeniu dla Bleeping Computerprogramiści Telegrama powiedzieli: "Wystąpił [...] problem w Telegram Desktop, w którym użytkownik musiał kliknąć złośliwy plik, gdy interpreter Pythona był zainstalowany na jego komputerze. W przeciwieństwie do wcześniejszych doniesień, nie była to luka typu "zero-click", która mogła mieć wpływ tylko na niewielką część naszych użytkowników: Mniej niż 0,01% naszych użytkowników ma zainstalowany Python i korzysta z odpowiedniej wersji Telegram for Desktop".

Literówka w kodzie źródłowym na GitHub została już naprawiona przez zespół Telegram, ale zaktualizowana aplikacja dla systemu Windows z poprawionym kodem nie jest jeszcze dostępna. Deweloperzy komunikatora Telegram wdrożyli jednak również poprawkę po stronie serwera, co oznacza, że archiwa skryptów Pythona nie będą już wykonywane bezpośrednio w systemie Windows, nawet w starszych wersjach z błędem w kodzie, ale ostrzeżenie będzie wyświetlane tak jak w przypadku plików EXE.

Źródło(a)

Bleeping Computer przez Golem

Powiązane artykuły

Windows 11 będzie teraz wyświetlał rekomendacje Sklepu - czytaj: reklamy - w menu Start, skłaniając wielu użytkowników do poważniejszego rozważenia przejścia na Linuksa. (Źródło obrazu: Microsoft)
Reklamy w menu Start systemu Windows 11 - już wkrótce na Państwa komputerach 25/04/2024
Zrzuty ekranu z grupy Telegram pokazują nagrania z kamer w sypialniach na sprzedaż
Zhakowane nagrania z kamer bezpieczeństwa z sypialni, garderoby i spa zostały wystawione na sprzedaż w grupie Telegram 22/12/2023
Please share our article, every link counts!
> laptopy testy i recenzje notebooki > Nowinki > Archiwum v2 > Archiwum 2024 04 > Luka w zabezpieczeniach aplikacji Telegram Messenger dla systemu Windows umożliwiała wykonanie kodu po kliknięciu wideo
Alexander Pensler, 2024-04-15 (Update: 2024-04-15)