Разработчики мессенджера Telegram внесли срочные исправления в десктопную версию приложения для Windows после обнаружения уязвимости, которая позволяла запускать Python-скрипты без ведома пользователя. Ошибка, скрывавшаяся в опечатке исходного кода, могла облегчить хакерам выполнение вредоносного кода на зараженных устройствах.
Взломщики нашли способ обойти системные предупреждения Telegram, используя специально подготовленные файлы с расширением .pyzw. Вместо того чтобы выводить стандартное уведомление о потенциальной опасности, Telegram невольно запускал эти скрипты, оставляя пользователей в неведении о скрытой угрозе.
Сообщества в соцсети X и киберпреступные форумы активно обсуждали уязвимость, подкрепляя свои слова видео демонстрациями, на которых видно, как простой клик может вызвать запуск стороннего приложения, например, калькулятора Windows. Первоначально команда Telegram отрицала проблему, предполагая, что доказательства подделаны. Однако после появления на хакерском форуме XSS доказательства концепции (PoC), подтверждающего существование ошибки из-за неверной записи в коде, разработчики приступили к устранению уязвимости.
Опечатка, найденная в файле data_document_resolver.cpp, где вместо «pyzw» было указано «pywz», теперь исправлена. Это изменение гарантирует, что мессенджер будет корректно определять и предупреждать о попытке запуска потенциально опасных скриптов.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.