Telegram уязвимость 9,8/10: угроза безопасности пользователей

В Telegram обнаружена критическая уязвимость с оценкой 9,8 балла из 10

Специалист по информационной безопасности Майкл Деплант выявил проблему, которая позволяет провести удаленную атаку без участия пользователя и получения привилегий. Исследователи уведомили разработчиков 26 марта и дали им время до 24 июля на исправление, прежде чем раскрыть технические детали.

Специалист по информационной безопасности Майкл Деплант, связанный с проектом TrendAI Zero Day Initiative, обнаружил в мессенджере Telegram критическую уязвимость, получившую оценку 9,8 балла из 10 по шкале CVSS. Соответствующая запись под номером ZDI-CAN-30207 появилась в базе организации, однако технические подробности пока не раскрываются. Исследователи уведомили Telegram о проблеме 26 марта и, следуя практике ответственного раскрытия, дали разработчикам время на исправление: публичное обнародование деталей назначено на 24 июля, если уязвимость не будет устранена раньше.

Указанный в описании CVSS-вектор свидетельствует о том, что атака может проводиться удаленно по сети, не требует привилегий и участия пользователя, а сложность ее эксплуатации оценивается как низкая. Если эти параметры подтвердятся, проблема попадет в разряд наиболее опасных: подобные уязвимости зачастую позволяют злоумышленнику получить полный контроль над процессом и одновременно нарушить конфиденциальность, целостность и доступность данных. Официальные представители Telegram пока никак не комментируют данный вопрос. Вероятно, более подробная информация появится после выхода исправляющего патча или после истечения срока, который исследователи предоставили разработчикам.