Telegram nulladik napi sebezhetőség a Windows app-ban

A Telegram javított egy nulladik napi sebezhetőséget a Windows asztali alkalmazásában, amelyet a biztonsági figyelmeztetések megkerülésére és Python szkriptek automatikus elindítására lehetett használni.

Az XSS hackerfórumon osztottak meg egy PoC exploitot, amely szerint a “Telegram for Windows” forráskódjában lévő elírást kihasználva Python .pyzw fájlokat lehet küldeni, amelyek kattintáskor megkerülik a biztonsági figyelmeztetéseket. Ez azt eredményezte, hogy a Python, ha az telepítve van, automatikusan lefuttatta a fájlt, anélkül, hogy a Telegram figyelmeztetést küldött volna, ahogyan azt más futtatható fájlok esetében teszi.

A helyzetet tovább rontotta, hogy a koncepciót bizonyító exploit a Python fájlt megosztott videónak álcázta, egy miniatűr képpel együtt, amely arra használható, hogy a felhasználókat rávegye, hogy a hamis videóra kattintva nézzék meg azt.

A .pyzw kiterjesztés a Python zipappok számára készült, amelyek ZIP-archívumokban található önálló Python programok.

A Telegram fejlesztői tisztában voltak azzal, hogy az ilyen típusú futtatható fájlokat kockázatosnak kell tekinteni, ezért felvették a futtatható fájlkiterjesztések listájára. Sajnos a kiterjesztés hozzáadásakor elírták, a kiterjesztést “pywz“-ként adták meg a helyes “pyzw” írásmód helyett.

Ezért, amikor ezeket a fájlokat a Telegramon keresztül küldték, és rákattintottak, a Python automatikusan elindította őket, ha az telepítve volt a Windowsban.

A fájl álcázásához egy Telegram robot segítségével “video/mp4” mime típussal küldik el a fájlt, aminek hatására a Telegram megosztott videóként jeleníti meg. Ha a felhasználó rákattint a videóra, a szkript automatikusan elindul a “Python for Windowson” keresztül.

A hibát április 10-én jelentették a Telegramnak, és a “data_document_resolver.cpp” forráskód fájlban a kiterjesztés javításával orvosolták.

A Telegram most az .untrusted kiterjesztést csatolja a pyzw fájlokhoz, amelyre kattintva a Windows megkérdezi, hogy milyen programmal kívánja megnyitni őket, ahelyett, hogy automatikusan Pythonban indítaná el.

(bleepingcomputer.com)