«Код Дурова»: в Telegram обнаружили уязвимость нулевого дня ZDI-CAN-30207

По информации ресурса «Код Дурова», эксперты по кибербезопасности обнаружили в Telegram уязвимость нулевого дня, которая получила идентификатор ZDI-CAN-30207 . Сообщается, что Уязвимость получила оценку 9,8 балла из 10 по шкале CVSS, что потенциально относит её к наивысшей категории опасности, если разработчики мессенджера подтвердят корректность отчёта исследователей по ИБ.

В телеграм-канале 3Side пояснили про эту ситуацию:

«Zero Day Initiative (крупнейшая и авторитетная независимая программа по поиску уязвимостей) разместила манифест, указывающий, что уязвимость нулевого дня в Телеграмм была обнаружена исследователем TrendAI Michael DePlante (izobashi). Критичность уязвимости: 9.8/10.»

«Судя по CVSS (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), это: лёгкая к эксплуатации уязвимость; работает по сети; не требует каких-либо действий пользователя; приводит к нарушению конфиденциальности/целостности/доступности одновременно, а значит это 99% - выполнение кода. Уязвимость получила внутренний идентификатор - ZDI-CAN-30207. Подробностей в чем именно реализация заключается уязвимость, как и примеров - пока нет.»

«По регламенту Zero Day Initiative у администрации Telegram есть 120 дней для исправления, но с учётом критичности фикс может выйти в ближайшее время. Telegram пока никак не прокомментировал уязвимость.»

«Пояснение по карточке вектора атаки AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H : AV:N — атака возможна удалённо, через сеть; AC:L — низкая сложность эксплуатации, не требует специальных условий; PR:N — не требуются никакие привилегии, не нужна учётная запись или какие-либо права в системе; UI:N — не требуется никакого взаимодействия со стороны жертвы.»