«Исходник Дурова»: в Telegram обнаружили уязвимость нулевого дня ZDI-CAN-30207

По информации ресурса «Код Дурова», эксперты по кибербезопасности обнаружили в Telegram уязвимость нулевого дня, которая получила идентификатор ZDI-CAN-30207. Сообщается, что Уязвимость получила оценку 9,8 балла из 10 по шкале CVSS, что потенциально относит её к наивысшей категории опасности, если авторы мессенджера подтвердят корректность отчёта исследователей по ИБ.

В телеграм-канале 3Side пояснили про эту ситуацию:

Zero Day Initiative (крупнейшая и авторитетная независимая программа по поиску уязвимостей) разместила манифест, указывающий, что уязвимость нулевого дня в Телеграмм была обнаружена исследователем TrendAI Michael DePlante (izobashi).

Критичность уязвимости: 9.8/10.

Судя по CVSS (AV:N/AC:L/PR:N/пользовательский интерфейс:N/S:U/C:H/I:H/A:H), это:

• лёгкая к эксплуатации уязвимость;

• работает по сети;

• не требует каких-либо действий пользователя;

• приводит к нарушению конфиденциальности/целостности/доступности одновременно, а значит это 99% - выполнение кода.

Уязвимость получила внутренний идентификатор - ZDI-CAN-30207.

Подробностей в чем именно реализация заключается уязвимость, как и примеров - пока нет. По регламенту Zero Day Initiative у администрации Telegram есть 120 дней для исправления, но с учётом критичности фикс может выйти скоро. Telegram пока никак не прокомментировал уязвимость.

Пояснение по карточке вектора атаки AV:N/AC:L/PR:N/пользовательский интерфейс:N/S:U/C:H/I:H/A:H:

• AV:N — атака возможна удалённо, через сеть;

• AC:L — низкая сложность эксплуатации, не требует специальных условий;

• PR:N — не требуются никакие привилегии, не нужна учётная запись или какие-либо права в системе;

• ui:N — не требуется никакого взаимодействия со стороны жертвы.