Michael Deplante, especialista em segurança da informação associado à Zero Day Initiative da TrendAI, descobriu uma vulnerabilidade crítica no aplicativo de mensagens Telegram, que recebeu uma pontuação de 9,8 em 10. A entrada correspondente, ZDI-CAN-30207, apareceu no banco de dados da organização, mas os detalhes ainda não foram divulgados.
Fonte da imagem: Kevin Horvat/unsplash.com
Pesquisadores notificaram o Telegram sobre a vulnerabilidade em 26 de março, e a divulgação pública dos detalhes está prevista para 24 de julho, a menos que os desenvolvedores resolvam o problema antes. Detalhes técnicos não estão sendo divulgados, pois a Zero Day Initiative normalmente concede aos desenvolvedores tempo para corrigir vulnerabilidades. Portanto, é prematuro discutir a abrangência do problema ou possíveis cenários de exploração.
O vetor CVSS especificado na descrição indica a possibilidade de um ataque remoto pela rede com baixa complexidade de exploração, sem privilégios e sem intervenção do usuário. Se esses parâmetros forem confirmados, o problema poderá ser classificado como altamente perigoso, já que tais vulnerabilidades frequentemente permitem que um invasor obtenha controle total sobre um processo, afetando simultaneamente a confidencialidade, a integridade e a disponibilidade dos dados.
Os representantes do Telegram ainda não se pronunciaram sobre o assunto. Informações mais detalhadas sobre a vulnerabilidade ZDI-CAN-30207 provavelmente estarão disponíveis após o lançamento de uma correção ou após o prazo estipulado pelos pesquisadores para que os desenvolvedores resolvam o problema.