Telegram исправил уязвимость нулевого дня для клиента Windows

В Telegram исправили уязвимость нулевого дня в настольном приложении для Windows, которую можно было использовать для обхода предупреждений безопасности и автоматического запуска скриптов Python.

Так, на хакерском форуме XSS было опубликовано доказательство концепции эксплойта, в котором объяснялось, что опечатка в исходном коде Telegram для Windows может быть использована для отправки файлов Python .pyzw, которые обходят предупреждения безопасности. Файл автоматически запускается, когда пользователь кликает на фишинговое видео.

В Telegram не считают, что ошибка связана с нулевым щелчком мыши, но подтверждает, что исправили её на стороне сервера. Также в мессенджере опровергли необходимость отключить автоматическую загрузку в Telegram, так как не выявили проблем, связанных с ней.

Уязвимость могла затронуть лишь небольшую часть пользователей: менее 0,01% установили Python и используют соответствующую версию Telegram для ПК.

В BleepingComputer спросили у представителей Telegram, откуда они знают, какое программное обеспечение установлено на устройствах Windows пользователей, поскольку этот тип данных не упоминается в Политике конфиденциальности.

Выяснилось, что клиент Telegram Desktop отслеживает список расширений, связанных с высокорисковыми, например исполняемыми, файлами. Когда кто-то отправляет один из этих типов файлов в Telegram, и другой кликает на него, то вместо автоматического запуска соответствующей программы в Windows Telegram сначала отображает следующее предупреждение безопасности: «Этот файл имеет расширение .exe. Он может нанести вред вашему компьютеру. Вы уверены, что хотите его запустить?».

Однако файлы неизвестных типов будут автоматически запускаться в системе.
Когда установлен Python для Windows, он