Notebookcheck Logo

Una vulnerabilidad de seguridad en la aplicación de Telegram Messenger para Windows permitía la ejecución de código tras hacer clic en un vídeo

Se ha encontrado una vulnerabilidad en la versión para Windows de Telegram Messenger (imagen: creada con Dall-E 3).
Se ha encontrado una vulnerabilidad en la versión para Windows de Telegram Messenger (imagen: creada con Dall-E 3).
Un simple error ortográfico en el código fuente de la aplicación Telegram Messenger Windows permitió a los atacantes saltarse una advertencia de seguridad. Esto permitió la ejecución automática de scripts Python tras hacer clic en un enlace disfrazado de vídeo.
Security Software Open Source Windows

La aplicación para Windows del conocido mensajero Telegram contiene en su código fuente una lista de extensiones de archivo para las que se emite una advertencia de seguridad cuando se pulsa sobre dicho archivo. Esto incluye, por ejemplo, los archivos ejecutables de Windows, para los que la aplicación de Telegram para Windows emite la siguiente advertencia "Este archivo tiene la extensión .exe. Podría dañar su ordenador. ¿Está seguro de que desea ejecutarlo?

Este diálogo también debería aparecer para los scripts ejecutables en el lenguaje de programación Python con la extensión .pyzw. Sin embargo, un error tipográfico (".pywz" en lugar de ".pyzw") hacía que no apareciera ninguna advertencia para los archivos zip de Python, sino que el código se ejecutaba directamente tras hacer clic en un enlace, siempre que hubiera un intérprete de Python disponible en el sistema Windows. Si un script Python de este tipo se ofusca ahora con el tipo de archivo "video/mp4", por ejemplo, el ejecutable aparecerá como un vídeo en Telegram Messenger.

Ya existe una solución para el lado del servidor

En una declaración a Bleeping Computerlos desarrolladores de Telegram dijeron: "Había [...] un problema en Telegram Desktop en el que el usuario tenía que hacer CLICK en un archivo malicioso mientras el intérprete Python estaba instalado en su ordenador. Contrariamente a informes anteriores, no se trataba de una vulnerabilidad "zero-click" que sólo pudiera afectar a una pequeña fracción de nuestros usuarios: Menos del 0,01% de nuestros usuarios tienen Python instalado y utilizan la versión correspondiente de Telegram para escritorio".

La errata en el código fuente en GitHub ya ha sido corregida por el equipo de Telegram, pero aún no está disponible una aplicación actualizada para Windows con el código corregido. Sin embargo, los desarrolladores del mensajero Telegram también han implementado una corrección del lado del servidor, lo que significa que los archivos de script de Python ya no se ejecutarán directamente en Windows, incluso en versiones anteriores con el error en el código, sino que se mostrará una advertencia como con los archivos EXE.

Please share our article, every link counts!
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2024 04 > Una vulnerabilidad de seguridad en la aplicación de Telegram Messenger para Windows permitía la ejecución de código tras hacer clic en un vídeo
Alexander Pensler, 2024-04-15 (Update: 2024-04-15)