Notebookcheck Logo

Une faille de sécurité dans l'application Windows de Telegram Messenger permet l'exécution de code après avoir cliqué sur une vidéo

Une vulnérabilité a été découverte dans la version Windows de Telegram Messenger (image : créée avec Dall-E 3).
Une vulnérabilité a été découverte dans la version Windows de Telegram Messenger (image : créée avec Dall-E 3).
Une simple faute d'orthographe dans le code source de l'application Windows Telegram Messenger a permis à des pirates de contourner un avertissement de sécurité. Cela a permis l'exécution automatique de scripts Python après avoir cliqué sur un lien déguisé en vidéo.

L'application Windows de la célèbre messagerie Telegram contient dans son code source une liste d'extensions de fichiers pour lesquelles un avertissement de sécurité est émis lorsque l'on clique sur un tel fichier. Il s'agit par exemple des fichiers exécutables de Windows, pour lesquels l'application Windows de Telegram émet l'avertissement suivant : "Ce fichier porte l'extension .exe. Il pourrait endommager votre ordinateur. Êtes-vous sûr de vouloir l'exécuter ?

Un tel dialogue devrait également apparaître pour les scripts exécutables en langage de programmation Python portant l'extension .pyzw. Cependant, une erreur de frappe (" .pywz " au lieu de " .pyzw ") a fait qu'aucun avertissement n'est apparu pour les archives zip Python, mais que le code a été exécuté directement après avoir cliqué sur un lien, à condition qu'un interpréteur Python soit disponible sur le système Windows. Si un tel script Python est maintenant obscurci avec le type de fichier "video/mp4", par exemple, l'exécutable apparaîtra comme une vidéo dans Telegram Messenger.

Une solution de contournement côté serveur est déjà disponible

Dans une déclaration à Bleeping Computerles développeurs de Telegram ont déclaré : "Il y a eu [...] un problème dans Telegram Desktop où l'utilisateur devait cliquer sur un fichier malveillant alors que l'interpréteur Python était installé sur son ordinateur. Contrairement aux rapports précédents, il ne s'agissait pas d'une vulnérabilité de type "zéro clic" qui ne pouvait affecter qu'une infime partie de nos utilisateurs : Moins de 0,01 % de nos utilisateurs ont installé Python et utilisent la version correspondante de Telegram for Desktop".

La faute de frappe dans le code source sur GitHub a déjà été corrigée par l'équipe de Telegram, mais une application Windows mise à jour avec le code corrigé n'est pas encore disponible. Cependant, les développeurs de la messagerie Telegram ont également mis en place un correctif côté serveur, ce qui signifie que les archives de scripts Python ne seront plus exécutées directement sur Windows, même dans les anciennes versions avec le bug dans le code, mais qu'un avertissement sera affiché comme pour les fichiers EXE.

Please share our article, every link counts!
Mail Logo
> Revues et rapports de ordinateurs portatifs et smartphones, ordiphones > Archives des nouvelles 2024 04 > Une faille de sécurité dans l'application Windows de Telegram Messenger permet l'exécution de code après avoir cliqué sur une vidéo
Alexander Pensler, 2024-04-15 (Update: 2024-04-15)