29/04
Telegram corrige une faille exploitée pour diffuser des malwares
Une faille zero day qui pouvait être exploitée par des pirates pour diffuser des malwares sur la plateforme de messagerie instantanée.
Début avril, Telegram a du corriger une faille zero day sur sa version ordinateur. Révéle sur X, cette faille de sécurité permettait de contourner les avertissements de sécurité de l’application et d’exécuter automatiquement des scripts Python. Des personnes malveillantes pouvaient ainsi tirer partie de cette faille et exécuter du code à distance pour accéder aux données personnelles. Telegram a rapidement corrigé cette vulnérabilité.
Cette faille de type “zero click” s’avère encore plus redoutable que les failles zero day régulièrement découverte sur Google Chrome par exemple. Cependant, Telegram a contesté ces accusations, en indiquant que les vidéos démontrant les capacités d’exécution de script a distance suite a un simple clic sur un média partagé sont des canulars. Bleeping Computer à contacté Telegram pour obtenir des explications : “Les rumeurs concernant l’existence de vulnérabilités de type « zero click » dans Telegram Desktop sont inexactes. Certains « experts » ont recommandé de « désactiver les téléchargements automatiques » sur Telegram. Il n’y a eu aucun problème qui aurait pu être déclenché par les téléchargements automatiques. Cependant, sur Telegram Desktop, il y avait un problème qui exigeait que l’utilisateur CLIQUE sur un fichier malveillant, alors que l’interpréteur Python était installé sur son ordinateur. Contrairement à ce qui a été rapporté précédemment, il ne s’agissait pas d’une vulnérabilité de type « zéro clic », et elle ne pouvait affecter qu’une infime partie de notre base d’utilisateurs : moins de 0,01 % de nos utilisateurs ont installé Python et utilisent la version correspondante de Telegram for Desktop. Un correctif côté serveur a été appliqué pour s’assurer que ce problème ne se reproduise plus, de sorte que toutes les versions de Telegram Desktop (y compris les plus anciennes) n’aient plus ce problème.”
Source : Clubic