- Автор темы
- #1
В реестре проекта Zero Day Initiative (ZDI) появилась запись о критической уязвимости в Telegram — ZDI-CAN-30207. Проблему обнаружил собственный специалист ZDI Майкл ДеПланте (Michael DePlante). Однако представители Telegram заявили СМИ, что такой уязвимости не существует, а исследователь ошибся.
Напомним, что ZDI — это крупнейшая в мире независимая от вендоров программа bug bounty, за которой стоит компания Trend Micro. Проект существует с 2005 года и специализируется на ответственном раскрытии уязвимостей — ZDI получает информацию о непропатченных багах от независимых исследователей, а затем передает ее вендорам и выплачивает вознаграждение багхантерам. Технические подробности проблем не раскрываются публично до выхода патча. Помимо работы с внешними исследователями, в ZDI есть собственная команда, которая тоже занимается поиском уязвимостей, — как раз к ней и относится ДеПланте.
Уязвимость ZDI-CAN-30207 получила оценку 9,8 балла из 10 возможных по шкале CVSS. Согласно CVSS-вектору, проблему можно эксплуатировать удаленно, она не требует никаких привилегий, специальных условий или взаимодействия со стороны жертвы. По мнению ИБ-специалистов из компании 3Side, которые одними из первых обратили внимание на запись в реестре ZDI, с помощью этого бага «скорее всего можно взломать любой аккаунт Telegram».
Впрочем, в Telegram на ситуацию смотрят иначе. Пресс-служба мессенджера сообщила в соцсети X, что такой уязвимости попросту не существует. По словам представителей мессенджера, исследователь ошибочно утверждал, что для атаки мог использоваться стикер с вредоносным кодом.
В компании пояснили, что все стикеры, загруженные в Telegram, проходят валидацию на серверах компании, прежде чем могут воспроизводиться в клиентах, а значит, подобный вектор эксплуатации невозможен.
Технические детали уязвимости пока не раскрыты, поэтому независимо подтвердить или опровергнуть ее существование невозможно. По регламенту ZDI, полная информация станет доступна после выхода патча или по истечении 120-дневного срока.
Напомним, что ZDI — это крупнейшая в мире независимая от вендоров программа bug bounty, за которой стоит компания Trend Micro. Проект существует с 2005 года и специализируется на ответственном раскрытии уязвимостей — ZDI получает информацию о непропатченных багах от независимых исследователей, а затем передает ее вендорам и выплачивает вознаграждение багхантерам. Технические подробности проблем не раскрываются публично до выхода патча. Помимо работы с внешними исследователями, в ZDI есть собственная команда, которая тоже занимается поиском уязвимостей, — как раз к ней и относится ДеПланте.
Уязвимость ZDI-CAN-30207 получила оценку 9,8 балла из 10 возможных по шкале CVSS. Согласно CVSS-вектору, проблему можно эксплуатировать удаленно, она не требует никаких привилегий, специальных условий или взаимодействия со стороны жертвы. По мнению ИБ-специалистов из компании 3Side, которые одними из первых обратили внимание на запись в реестре ZDI, с помощью этого бага «скорее всего можно взломать любой аккаунт Telegram».
Впрочем, в Telegram на ситуацию смотрят иначе. Пресс-служба мессенджера сообщила в соцсети X, что такой уязвимости попросту не существует. По словам представителей мессенджера, исследователь ошибочно утверждал, что для атаки мог использоваться стикер с вредоносным кодом.
В компании пояснили, что все стикеры, загруженные в Telegram, проходят валидацию на серверах компании, прежде чем могут воспроизводиться в клиентах, а значит, подобный вектор эксплуатации невозможен.
Технические детали уязвимости пока не раскрыты, поэтому независимо подтвердить или опровергнуть ее существование невозможно. По регламенту ZDI, полная информация станет доступна после выхода патча или по истечении 120-дневного срока.