В Telegram обнаружена одна из самых опасных уязвимостей за последнее время — она уже зарегистрирована в базе Zero Day Initiative под номером ZDI-CAN-30207. По оценке CVSS «дыра» получила 9,8 балла из 10, что означает практически максимальный уровень угрозы. По предварительным данным, речь может идти о возможности взлома аккаунтов без какого-либо участия со стороны пользователя.
Характеристики атаки выглядят максимально тревожно: она проводится удалённо через сеть, не требует авторизации, не нуждается в действиях жертвы и при этом остаётся относительно простой в реализации. Такой набор параметров обычно указывает на потенциальную возможность удалённого выполнения кода — один из самых опасных сценариев в кибербезопасности.
Уязвимость обнаружил исследователь из TrendAI, а информация уже передана разработчикам Telegram. Сейчас действует стандартная практика: детали не раскрываются, чтобы не дать злоумышленникам готовый инструмент до выхода патча.
У команды мессенджера есть до 120 дней на исправление проблемы, но с учётом уровня риска обновление, скорее всего, выйдет значительно быстрее.
Важно понимать: на текущий момент нет подтверждений массовых атак или активной эксплуатации этой уязвимости. Однако сам факт её существования — уже серьёзный сигнал. Впрочем, для большинства пользователей причин для паники пока нет.
Обновлено
Пресс-служба Telegram опровергла существование бага, а исследование считают ошибкой. Все стикеры, которые, якобы, являются причиной эксплойта, проверяются на серверах до того, как становятся доступными в клиентах, заявляет команда мессенджера.