Архив метки: TrendAI

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы:

🔻 Уязвимость на уровне приложения фактически подтвердили.
🔻 Вектором атаки, как и предполагалось, является пересылка жертве зловредного изображения (стикера).
🔻 К каким последствиям это может привести, всё ещё непонятно: от компрометации аккаунта до RCE на устройстве.
🔻 Заявляется наличие некоторого облачного механизма (антивируса?), с помощью которого Telegram фильтрует зловредные стикеры. Насколько он эффективен (и существует ли вообще 😏), - непонятно.
🔻 Официально Telegram уязвимость не признают, в лучшем случае исправят silent patching-ом и непонятно когда. Ответственным такое поведение назвать сложно. 🤷‍♂️🤦‍♂️

В то, что известный исследователь ZDI (8 лет стажа, ~200 CVE) мог сдать в Telegram неэксплуатабельную ерунду без пруфов, я не верю. Имхо, ZDI теперь имеют полное моральное право обидеться и сделать full disclosure.

Критическая 0-day уязвимость в Telegram (ZDI-CAN-30207)

Добавить комментарий

Критическая 0-day уязвимость в Telegram (ZDI-CAN-30207). На сайте TrendAI Zero Day Initiative (TrendAI - новое имя для Trend Micro Enterprise Business) в таблице UPCOMING ADVISORIES появилась строчка, относящаяся к нераскрытой уязвимости в Telegram, найденной Michael "izobashi" DePlante.

Про уязвимость пока ничего не известно, кроме CVSS 3.1 вектора AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H (9.8). Вектор атаки сетевой, сложность низкая, привилегий не требуется, неинтерактивная, импакт по конфиденциальности, целостности и доступности максимальный. 0-click RCE при закидывании зловредного медиафайла? 🤔 У izobashi много сданных RCE-шек. Хотя Scope: Unchanged может намекать на компрометацию только самого мессенджера или угон аккаунта. 🤷‍♂️

Уязвимость зарепортили 26 марта. Eсли за 4 месяца уязвимость не исправят, её раскроют as is. Ждём фикс от Telegram.

Если эта уязвимость Telegram побудит вас перейти на безопасный MAX, не забудьте подписаться на мой MAX-канал. 😉

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: TrendAI

Из комментария пресс-службы Telegram по поводу критической уязвимости ZDI-CAN-30207 можно сделать следующие выводы

Критическая 0-day уязвимость в Telegram (ZDI-CAN-30207)