Исследователь рассказал об уязвимости «нулевого дня» в Telegram — в сервисе её существование отрицают
По словам пресс-службы мессенджера, автор «ошибочно утверждает, что для атаки можно использовать стикер с вредоносным кодом».
- Информацию об уязвимости в базе Zero Day Initiative (ZDI) 26 марта 2026 года опубликовал исследователь Майкл Деплант из Trend Micro.
- Уязвимость получила оценку критичности в 9,8 из 10 баллов по шкале CVSS, но подробности о ней не приводятся. По правилам ZDI информацию раскроют после того, как мессенджер исправит проблему, или через 120 дней.
- В карточке уязвимости отмечается, что её можно использовать удалённо, а для успешной атаки не требуется никаких действий со стороны жертвы. Информации о её применении хакерами пока нет.
- По одной из версий, уязвимость может быть связана с использованием анимированных стикеров, но прямых подтверждений этому нет, отмечает Telegram Info.
- При этом в пресс-службе Telegram заявили «Коду Дурова», что уязвимости «не существует». По словам представителей мессенджера, «исследователь ошибочно утверждает, что для атаки можно использоваться стикер с вредоносным кодом». Все стикеры проверяются на серверах, прежде чем проигрываться у пользователей, пояснили в компании.
- В Telegram Info называют странным, что в мессенджере прокомментировали «именно спекуляции о стикерах, хотя вектор атаки не раскрыт и может вообще не иметь к ним отношения». Кроме того, серверная проверка не гарантирует полной защиты пользователей, добавили в издании.
- В 2020 году исследователи Shielder обнаружили 13 уязвимостей в библиотеке rlottie для анимированных стикеров, в том числе ошибки, позволявшие удалённо повреждать память устройства. В 2024 году в Telegram для Windows нашли уязвимость, которая позволяла маскировать вредоносные Python-скрипты под медиафайлы. В 2025-м похожую проблему выявили в Android-приложении.
89 комментариев