La vulnerabilità di sicurezza nell'applicazione Windows di Telegram Messenger consentiva l'esecuzione di codice dopo aver cliccato su un video

È stata trovata una vulnerabilità nella versione Windows di Telegram Messenger (immagine: creata con Dall-E 3).

Un semplice errore di ortografia nel codice sorgente dell'applicazione Telegram Messenger Windows ha permesso agli aggressori di aggirare un avviso di sicurezza. Questo ha permesso l'esecuzione automatica di script Python dopo aver cliccato su un link camuffato da video.

Alexander Pensler (traduzione a cura di Ninh Duy), Published 04/15/2024 🇺🇸 🇩🇪 ...

L'applicazione Windows del noto messenger Telegram contiene nel suo codice sorgente un elenco di estensioni di file per le quali viene emesso un avviso di sicurezza quando si clicca su un file. Questo include, ad esempio, i file eseguibili di Windows, per i quali l'applicazione Windows di Telegram emette il seguente avviso "Questo file ha l'estensione .exe. Potrebbe danneggiare il suo computer. È sicuro di volerlo eseguire?

Tale dialogo dovrebbe apparire anche per gli script eseguibili nel linguaggio di programmazione Python con estensione .pyzw. Tuttavia, un errore di battitura (".pywz" invece di ".pyzw") ha fatto sì che non apparisse alcun avviso per gli archivi zip Python, ma che il codice venisse eseguito direttamente dopo aver cliccato su un link, a condizione che un interprete Python fosse disponibile sul sistema Windows. Se un tale script Python viene ora offuscato con il tipo di file "video/mp4", ad esempio, l'eseguibile apparirà come un video in Telegram Messenger.

Il workaround lato server è già disponibile

In una dichiarazione a Bleeping Computergli sviluppatori di Telegram hanno dichiarato: "C'era [...] un problema in Telegram Desktop in cui l'utente doveva fare clic su un file dannoso mentre l'interprete Python era installato sul suo computer. Contrariamente a quanto riportato in precedenza, non si trattava di una vulnerabilità "zero-click" che poteva colpire solo una piccola frazione dei nostri utenti: Meno dello 0,01% dei nostri utenti ha installato Python e utilizza la versione corrispondente di Telegram per Desktop".

Il refuso nel codice sorgente su GitHub è già stato corretto dal team di Telegram, ma non è ancora disponibile un'app Windows aggiornata con il codice corretto. Tuttavia, gli sviluppatori del messenger Telegram hanno anche implementato una correzione lato server, il che significa che gli archivi di script Python non verranno più eseguiti direttamente su Windows, anche nelle versioni più vecchie con il bug nel codice, ma verrà visualizzato un avviso come per i file EXE.

Fonte(i)

Computer che fa i capricci via Golem

Articoli collegati

SimpleX Chat in azione (Fonte: SimpleX Chat)

La chat SimpleX open-source ha successo dove Telegram ha fallito 10/03/2024

Pavel Durov è stato accusato di "complicità nella gestione di una piattaforma online per consentire transazioni illecite da parte di un gruppo organizzato". (Fonte: Pavel Durov)

La polizia francese accusa il CEO di Telegram Pavel Durov di aver favorito contenuti illeciti sulla piattaforma 08/29/2024

Il CEO di Telegram rischia fino a 20 anni di carcere. Fonte dell'immagine: Pavel Durov

Il CEO di Telegram Pavel Durov arrestato in Francia 08/26/2024

Windows 10 raggiunge una quota di mercato del 70,03% (Fonte: Microsoft)

Windows 10 detiene il 70,03% di quota di mercato, mentre Windows 11 continua a diminuire 05/02/2024

Windows 11 ora mostrerà le raccomandazioni dello Store - leggi: annunci - nel menu Start, spingendo molti utenti a considerare più seriamente il passaggio a Linux. (Fonte: Microsoft)

Annunci del menu Start di Windows 11 - ora in arrivo su un PC vicino a lei 04/25/2024

Le schermate del gruppo Telegram mostrano le riprese delle camere da letto in vendita

I filmati delle telecamere di sicurezza violate di camere da letto, spogliatoi e spa sono stati trovati in vendita su un gruppo Telegram 12/22/2023

Telegram: non più gratuito per sempre. (Fonte: Telegram)

L'esistenza e l'imminente lancio di Telegram Premium sono stati confermati dal fondatore dell'app 06/12/2022

Telegram: gratis, ma non per sempre? (Fonte: Telegram)

Telegram: Altre prove di un nuovo livello "Premium" vengono alla luce grazie al nuovo codice del sito web 05/29/2022

Telegram potrebbe presto lanciare un servizio di abbonamento mensile (immagine via Unsplash)

Telegram potrebbe presto bloccare alcuni adesivi ed emoji dietro un abbonamento mensile 05/02/2022

Il Brasile ha ora rimosso il divieto di Telegram. (Fonte: The Next Web)

Telegram torna in Brasile dopo essere stato chiuso dalla Corte Suprema brasiliana con l'accusa di disinformazione 03/22/2022

La Mi Band 6 potrebbe permettere agli utenti di comunicare tramite i servizi di messaggeria più popolari. (Fonte immagine: Xiaomi (Mi Band 5 nella foto)/Medium - modificato

Il Mi Band 6 con GPS incorporato potrebbe permettere a chi lo indossa di utilizzare completamente servizi come WhatsApp e Telegram stando al codice di Xiaomi Mi Fit 02/25/2021

WhatsApp sta perdendo utenti a causa di problemi di privacy. (Fonte dell'immagine: CatalystIndependent/Stick - edit)

WhatsApp si mette in moto per arginare il flusso di utenti che si spostano verso i rivali Signal e Telegram mentre milioni di persone protestano contro la controversa politica sulla privacy 01/18/2021

Il Dipartimento della Difesa degli ...

Powkiddy RG20SX, al prezzo di 69,99...

Editor of the original article: Alexander Pensler - News Writer - 469 articles published on Notebookcheck since 2023

Translator: Ninh Ngoc Duy - Editorial Assistant - 459232 articles published on Notebookcheck since 2008

contact me via: Facebook

Please share our article, every link counts!

> Recensioni e prove di notebook, tablets e smartphones > News > Newsarchive 2024 04 > La vulnerabilità di sicurezza nell'applicazione Windows di Telegram Messenger consentiva l'esecuzione di codice dopo aver cliccato su un video

Alexander Pensler, 2024-04-15 (Update: 2024-04-15)