Telegram исправил уязвимость нулевого дня для клиента WindowsВ Telegram исправили уязвимость нулевого дня в настольном приложении для Windows, которую можно было использовать для обхода предупреждений безопасности и автоматического запуска скриптов Python.
Так, на хакерском форуме XSS было опубликовано доказательство концепции эксплойта, в котором объяснялось, что опечатка в исходном коде Telegram для Windows может быть использована для отправки файлов Python .pyzw, которые обходят предупреждения безопасности. Файл автоматически запускается, когда пользователь кликает на фишинговое видео.
Когда установлен Python для Windows, он связывает расширение .pyzw с исполняемым файлом Python, заставляя Python автоматически выполнять сценарии при двойном щелчке. Расширение .pyzw предназначено для zip-приложений Python.
Разработчики Telegram добавили эти типы исполняемых файлов в список расширений. Однако при этом они допустили опечатку, введя «pywz», а не «pyzw». В итоге файлы автоматически запускались Python.
Это позволяет злоумышленникам обходить предупреждения системы безопасности и удалённо выполнять код на целевом устройстве. Обычно они использовали файлы с mime-типом «video/mp4».
