Deutsch
English
Español
Français
Nederlands
Polski
Português
Русский
Türkçe
Svenska
Chinese
MagyarLa vulnerabilità di sicurezza nell'applicazione Windows di Telegram Messenger consentiva l'esecuzione di codice dopo aver cliccato su un video
L'applicazione Windows del noto messenger Telegram contiene nel suo codice sorgente un elenco di estensioni di file per le quali viene emesso un avviso di sicurezza quando si clicca su un file. Questo include, ad esempio, i file eseguibili di Windows, per i quali l'applicazione Windows di Telegram emette il seguente avviso "Questo file ha l'estensione .exe. Potrebbe danneggiare il suo computer. È sicuro di volerlo eseguire?
Tale dialogo dovrebbe apparire anche per gli script eseguibili nel linguaggio di programmazione Python con estensione .pyzw. Tuttavia, un errore di battitura (".pywz" invece di ".pyzw") ha fatto sì che non apparisse alcun avviso per gli archivi zip Python, ma che il codice venisse eseguito direttamente dopo aver cliccato su un link, a condizione che un interprete Python fosse disponibile sul sistema Windows. Se un tale script Python viene ora offuscato con il tipo di file "video/mp4", ad esempio, l'eseguibile apparirà come un video in Telegram Messenger.
Il workaround lato server è già disponibile
In una dichiarazione a Bleeping Computergli sviluppatori di Telegram hanno dichiarato: "C'era [...] un problema in Telegram Desktop in cui l'utente doveva fare clic su un file dannoso mentre l'interprete Python era installato sul suo computer. Contrariamente a quanto riportato in precedenza, non si trattava di una vulnerabilità "zero-click" che poteva colpire solo una piccola frazione dei nostri utenti: Meno dello 0,01% dei nostri utenti ha installato Python e utilizza la versione corrispondente di Telegram per Desktop".
Il refuso nel codice sorgente su GitHub è già stato corretto dal team di Telegram, ma non è ancora disponibile un'app Windows aggiornata con il codice corretto. Tuttavia, gli sviluppatori del messenger Telegram hanno anche implementato una correzione lato server, il che significa che gli archivi di script Python non verranno più eseguiti direttamente su Windows, anche nelle versioni più vecchie con il bug nel codice, ma verrà visualizzato un avviso come per i file EXE.
Fonte(i)
