TrendAI | Александр В. Леонов

Критическая 0-day уязвимость в Telegram (ZDI-CAN-30207). На сайте TrendAI Zero Day Initiative (TrendAI - новое имя для Trend Micro Enterprise Business) в таблице UPCOMING ADVISORIES появилась строчка, относящаяся к нераскрытой уязвимости в Telegram, найденной Michael "izobashi" DePlante.

Про уязвимость пока ничего не известно, кроме CVSS 3.1 вектора AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8). Вектор атаки сетевой, сложность низкая, привилегий не требуется, неинтерактивная, импакт по конфиденциальности, целостности и доступности максимальный. 0-click RCE при закидывании зловредного медиафайла? 🤔 У izobashi много сданных RCE-шек. Хотя Scope: Unchanged может намекать на компрометацию только самого мессенджера или угон аккаунта. 🤷‍♂️

Уязвимость зарепортили 26 марта. Eсли за 4 месяца уязвимость не исправят, её раскроют as is. Ждём фикс от Telegram.

Если эта уязвимость Telegram побудит вас перейти на безопасный MAX, не забудьте подписаться на мой MAX-канал. 😉

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: TrendAI

Критическая 0-day уязвимость в Telegram (ZDI-CAN-30207)