Telegram ha risolto una vulnerabilità zero-day nella sua applicazione desktop per Windows, che permetteva l'esecuzione automatica di script Python senza autorizzazione.
La falla, scoperta in seguito a segnalazioni online e a un exploit Proof-of-Concept condiviso su forum di hacking, ha suscitato preoccupazioni per la sicurezza degli utenti. Inizialmente, Telegram ha smentito l'esistenza della vulnerabilità, definendola una bufala, ma successivamente ha confermato l'errore nel codice sorgente dell'app.
L'errore consentiva l'invio di file Python .pyzw che, bypassando gli avvisi di sicurezza dell'app, venivano eseguiti automaticamente da Python al click dell'utente. Questo poteva permettere a potenziali aggressori di eseguire codice da remoto sui dispositivi Windows degli utenti. La correzione è stata effettuata lato server, risolvendo così il problema e impedendo l'esecuzione automatica degli script Python.
Telegram ha precisato che si trattava di un problema che colpiva una piccola percentuale degli utenti, in quanto richiedeva che l'utente avesse installato l'interprete di Python sul proprio computer. La vulnerabilità è stata individuata nel client Telegram Desktop, il quale gestisce un elenco di estensioni di file associati a file rischiosi, come i file eseguibili.
La correzione lato server ha risolto il problema, impedendo il rischio di esecuzione automatica degli script Python. Nonostante le voci iniziali riguardo a una possibile falla di sicurezza, Telegram ha sottolineato che non si trattava di un attacco zero-click, ma piuttosto di un errore che poteva colpire solo una piccola parte della base di utenti.