Notebookcheck Logo

Het beveiligingslek in de Windows-toepassing van Telegram Messenger maakte code-uitvoering mogelijk na klikken op video

Er is een kwetsbaarheid gevonden in de Windows-versie van Telegram Messenger (afbeelding: gemaakt met Dall-E 3).
Er is een kwetsbaarheid gevonden in de Windows-versie van Telegram Messenger (afbeelding: gemaakt met Dall-E 3).
Een eenvoudige spelfout in de broncode van de Telegram Messenger Windows applicatie liet aanvallers een beveiligingswaarschuwing omzeilen. Hierdoor konden Python-scripts automatisch worden uitgevoerd nadat er op een link vermomd als video was geklikt.
Security Software Open Source Windows

De Windows-toepassing van de bekende messenger Telegram bevat in de broncode een lijst met bestandsextensies waarvoor een beveiligingswaarschuwing wordt afgegeven wanneer op een dergelijk bestand wordt geklikt. Dit omvat bijvoorbeeld Windows uitvoerbare bestanden, waarvoor de Telegram Windows-toepassing de volgende waarschuwing afgeeft: "Dit bestand heeft de extensie .exe. Het kan uw computer beschadigen. Weet u zeker dat u het wilt uitvoeren?

Zo'n dialoog zou ook moeten verschijnen voor uitvoerbare scripts in de programmeertaal Python met de extensie .pyzw. Door een typefout (".pywz" in plaats van ".pyzw") verscheen er echter geen waarschuwing voor Python zip-archieven, maar werd de code direct uitgevoerd na het klikken op een link, op voorwaarde dat er een Python interpreter beschikbaar was op het Windows systeem. Als zo'n Python-script nu bijvoorbeeld gecodeerd is met het bestandstype "video/mp4", verschijnt de executable als een video in Telegram Messenger.

Server-side workaround al beschikbaar

In een verklaring aan Bleeping Computerzeiden de ontwikkelaars van Telegram: "Er was [...] een probleem in Telegram Desktop waarbij de gebruiker op een kwaadaardig bestand moest KLIKKEN terwijl de Python-interpreter op hun computer geïnstalleerd was. In tegenstelling tot eerdere berichten was dit geen "zero-click" kwetsbaarheid die slechts een klein deel van onze gebruikers kon treffen: Minder dan 0,01% van onze gebruikers heeft Python geïnstalleerd en gebruikt de overeenkomstige versie van Telegram voor Desktop".

De typfout in de broncode op GitHub is al opgelost door het Telegram team, maar een bijgewerkte Windows app met de gecorrigeerde code is nog niet beschikbaar. De ontwikkelaars van de Telegram messenger hebben echter ook een server-side fix geïmplementeerd, wat betekent dat Python scriptarchieven niet langer direct op Windows worden uitgevoerd, zelfs niet in oudere versies met de fout in de code, maar er wordt een waarschuwing weergegeven zoals bij EXE-bestanden.

Gelijkaardige Artikels

De middeleeuwse RPG staat onder andere bekend om zijn historische nauwkeurigheid. (Bron: X / voorheen Twitter)
Lek: Kingdom Come opvolger wordt over een paar dagen onthuld 15-04-2024
Screenshots van de Telegram-groep tonen camerabeelden van slaapkamers die te koop staan
Gehackte beveiligingsbeelden van slaapkamers, kleedkamers, spa's blijken te koop te zijn op Telegram-groep 22-12-2023
Telegram: niet langer voor altijd gratis. (Bron: Telegram)
Het bestaan en de op handen zijnde lancering van Telegram Premium wordt bevestigd door de oprichter van de app 12-06-2022
Telegram: gratis, maar niet voor altijd? (Bron: Telegram)
Telegram: Meer bewijs van een nieuwe 'Premium' tier komt naar verluidt aan het licht dankzij nieuwe website code 29-05-2022
Telegram zou binnenkort een maandelijkse abonnementsdienst kunnen lanceren (afbeelding via Unsplash)
Telegram kan binnenkort sommige stickers en emoji's achter een maandabonnement vergrendelen 02-05-2022
Please share our article, every link counts!
> Overzichten en testrapporten over laptops en mobieltjes > Nieuws > Nieuws Archief > Nieuws archieven 2024 04 > Het beveiligingslek in de Windows-toepassing van Telegram Messenger maakte code-uitvoering mogelijk na klikken op video
Alexander Pensler, 2024-04-15 (Update: 2024-04-15)