Thực hư về lỗ hổng zero-day trong Telegram cho phép khởi chạy tập lệnh Python

Telegram đã nhanh chóng giải quyết lỗ hổng zero-day nghiêm trọng được phát hiện trong hệ điều hành Windows có thể cho phép tự động khởi chạy các tập lệnh Python.

Ban đầu xuất hiện các thông tin liên quan đến lỗ hổng thực thi mã từ xa (RCE) trong Telegram dành cho Windows. Mặc dù một số bài đăng cho rằng đó là lỗ hổng zero-click, nhưng điều tra sâu hơn cho thấy người dùng cần tương tác với phần mềm độc hại để kích hoạt khai thác.

Telegram đã phủ nhận những thông tin này và cho rằng video đó có thể là trò đùa. Tuy nhiên, một mã khai thác (PoC) đã được chia sẻ trên diễn đàn tin tặc chỉ ra lỗi đánh máy trong mã nguồn Telegram đã cho phép thực thi các tập lệnh Python mà không có bất cứ cảnh báo bảo mật nào.

Lỗ hổng này xuất phát từ việc Telegram xử lý các phần mở rộng tệp. Mặc dù ứng dụng hiển thị cảnh báo bảo mật đối với các loại tệp rủi ro đã biết, nhưng với các loại tệp không xác định thì sẽ tự động được khởi chạy, tùy vào hành vi mặc định của hệ điều hành.

Sau đó, Telegram đã thừa nhận về sự cố và nhanh chóng triển khai bản vá phía máy chủ để ngăn các tập lệnh Python tự động khởi chạy. Ứng dụng này còn lưu ý lỗ hổng đã ảnh hưởng đến một số người dùng có cấu hình cụ thể.

Ngoài ra, một bản sửa lỗi tạm thời phía máy chủ đã được áp dụng, gắn thêm phần mở rộng ‘.untrusted’ vào các tệp Python. Thay đổi này nhắc người dùng chọn chương trình để mở tệp, tăng cường bảo mật cho đến khi bản vá chính thức được triển khai.

Vina Aspire là công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668


Vina Aspire – Vững bảo mật, trọn niềm tin


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »