Специалист по информационной безопасности Майкл Деплант, связанный с проектом TrendAI Zero Day Initiative, обнаружил критическую уязвимость в мессенджере Telegram, которая получила оценку 9,8 балла из 10. Соответствующая запись ZDI-CAN-30207 появилась в базе организации, но подробности пока не раскрываются.
Источник изображения: Kevin Horvat/unsplash.com
Исследователи уведомили Telegram о выявленной уязвимости 26 марта, а публичное раскрытие связанных с ней деталей назначено на 24 июля, если разработчики не решат проблему раньше. Технические детали не раскрываются, поскольку Zero Day Initiative обычно даёт разработчикам время на исправление уязвимостей. Из-за этого преждевременно говорить о массовости проблемы или сценариях эксплуатации уязвимости.
Указанный в описании CVSS-вектор указывает на возможность проведения удалённой атаки по сети с низкой сложностью эксплуатации, без привилегий и без участия пользователя. В случае подтверждения таких параметров, проблема может попасть в разряд наиболее опасных, поскольку подобные уязвимости зачастую позволяют злоумышленнику получить полный контроль над процессом и одновременно затрагивают конфиденциальность, целостность и доступность данных.
Официальные представители Telegram пока никак не комментируют данный вопрос. Вероятно, более подробная информация об уязвимости ZDI-CAN-30207 появится после выхода исправляющего её патча или после истечения срока, который исследователи дали разработчикам для решения проблемы.