Deutsch
English
Español
Italiano
Nederlands
Polski
Português
Русский
Türkçe
Svenska
Chinese
MagyarUne faille de sécurité dans l'application Windows de Telegram Messenger permet l'exécution de code après avoir cliqué sur une vidéo
L'application Windows de la célèbre messagerie Telegram contient dans son code source une liste d'extensions de fichiers pour lesquelles un avertissement de sécurité est émis lorsque l'on clique sur un tel fichier. Il s'agit par exemple des fichiers exécutables de Windows, pour lesquels l'application Windows de Telegram émet l'avertissement suivant : "Ce fichier porte l'extension .exe. Il pourrait endommager votre ordinateur. Êtes-vous sûr de vouloir l'exécuter ?
Un tel dialogue devrait également apparaître pour les scripts exécutables en langage de programmation Python portant l'extension .pyzw. Cependant, une erreur de frappe (" .pywz " au lieu de " .pyzw ") a fait qu'aucun avertissement n'est apparu pour les archives zip Python, mais que le code a été exécuté directement après avoir cliqué sur un lien, à condition qu'un interpréteur Python soit disponible sur le système Windows. Si un tel script Python est maintenant obscurci avec le type de fichier "video/mp4", par exemple, l'exécutable apparaîtra comme une vidéo dans Telegram Messenger.
Une solution de contournement côté serveur est déjà disponible
Dans une déclaration à Bleeping Computerles développeurs de Telegram ont déclaré : "Il y a eu [...] un problème dans Telegram Desktop où l'utilisateur devait cliquer sur un fichier malveillant alors que l'interpréteur Python était installé sur son ordinateur. Contrairement aux rapports précédents, il ne s'agissait pas d'une vulnérabilité de type "zéro clic" qui ne pouvait affecter qu'une infime partie de nos utilisateurs : Moins de 0,01 % de nos utilisateurs ont installé Python et utilisent la version correspondante de Telegram for Desktop".
La faute de frappe dans le code source sur GitHub a déjà été corrigée par l'équipe de Telegram, mais une application Windows mise à jour avec le code corrigé n'est pas encore disponible. Cependant, les développeurs de la messagerie Telegram ont également mis en place un correctif côté serveur, ce qui signifie que les archives de scripts Python ne seront plus exécutées directement sur Windows, même dans les anciennes versions avec le bug dans le code, mais qu'un avertissement sera affiché comme pour les fichiers EXE.
Source(s)
