Cybred
@cybred
Cybred
Фото:
Этим можно взломать любого
В Telegram нашли критическую уязвимость, которую оценили в 9.8 по CVSS. Детали пока не разглашают. Но, судя по почти максимальной оценке, это может быть 0-click RCE. Иными словами, баг, позволяющий получить доступ к чужому устройству, просто отправив что-то собеседнику.
Ее нашел Michael DePlante — ресерчер, который вот уже несколько лет охотится за багами в Apple, Adobe, Avast и других крупных компаниях. Только за 2024 год он нашёл 37 уязвимостей, а всего — 150+. Причём многие из них связаны с неправильным парсингом файлов, что повышает вероятность на RCE в Telegram.
Патча пока нет, а подробности станут известны не позднее 24.07.2026, когда уже можно будет раскрыть инфу.
Ответ TG по поводу уязвимости
Пресс-служба компании (почему-то вместо инженеров в репорте) заявляет, что все стикеры валидируются перед тем, как их загрузить на сервер, и "flaw does not exist".
Но правда ли это?
Напомню, что еще с 2022 года в мессенджере не исправлены DOS-стикеры, которые у всех роняют приложение. Их все еще можно загружать, и они все так же хорошо крашат клиент, как и 4 года назад.
Пресс-служба компании (почему-то вместо инженеров в репорте) заявляет, что все стикеры валидируются перед тем, как их загрузить на сервер, и "flaw does not exist".
Но правда ли это?
Напомню, что еще с 2022 года в мессенджере не исправлены DOS-стикеры, которые у всех роняют приложение. Их все еще можно загружать, и они все так же хорошо крашат клиент, как и 4 года назад.
120 5.7K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram