Schwachstelle in Windows-App des Telegram Messengers ermöglichte Code-Ausführung nach Klick auf Video

In der Windows-Version des Telegram Messengers klaffte eine Sicherheitslücke (Bild: generiert mit Dall-E 3).

Durch einen einfachen Buchstabendreher im Quellcode der Windows-Applikation des Telegram Messengers konnten Angreifer eine Sicherheitswarnung umgehen. Dies ermöglichte die automatische Ausführung von Python-Skripten nach dem Anklicken eines als Video getarnten Links.

Alexander Pensler, Veröffentlicht am 15.04.2024 🇺🇸 🇫🇷 ...

Die Windows-Anwendung des bekannten Messengers Telegram enthält im Quellcode eine Liste von Dateierweiterungen, bei denen eine Sicherheitswarnung ausgegeben wird, wenn eine solche Datei angeklickt wird. Dazu gehören beispielsweise ausführbare Windows-Dateien, bei denen die Telegram Windows-Anwendung folgende Warnung ausgibt: "Diese Datei hat die Endung .exe. Sie könnte deinen Computer beschädigen. Willst du sie wirklich ausführen?"

Ein solcher Dialog sollte eigentlich auch bei ausführbaren Skripten in der Programmiersprache Python mit der Endung .pyzw erscheinen. Ein Buchstabendreher in ".pywz" führte jedoch dazu, dass bei Python-Zip-Archiven keine Warnung erschien, sondern der Code nach Anklicken eines Links direkt ausgeführt wurde, sofern auf dem Windows-System ein Python-Interpreter vorhanden war. Wird ein solches Python-Skript nun beispielsweise mit dem Dateityp "video/mp4" getarnt, erscheint die ausführbare Datei als Video im Telegram Messenger.

Server-seitiger Workaround bereits implementiert

In einer Stellungnahme gegenüber Bleeping Computer erklärten die Telegram-Entwickler: "Im Telegram Desktop gab es [...] ein Problem, bei dem der Nutzer auf eine bösartige Datei KLICKEN musste, während der Python-Interpreter auf seinem Computer installiert war. Im Gegensatz zu früheren Berichten handelte es sich nicht um eine "Zero-Click"-Schwachstelle, die nur einen winzigen Bruchteil unserer Nutzer betreffen konnte: Weniger als 0,01% unserer Nutzer haben Python installiert und verwenden die entsprechende Version von Telegram für Desktop".

Der Tippfehler im Quellcode auf GitHub wurde vom Telegram-Team bereits behoben, eine aktualisierte Windows-App mit dem korrigierten Code ist jedoch noch nicht verfügbar. Zusätzlich haben die Entwickler des Telegram Messengers jedoch einen serverseitigen Fix eingespielt, wodurch Python-Skript-Archive unter Windows auch in älteren Versionen mit dem Fehler im Code nicht mehr direkt ausgeführt werden, sondern wie bei EXE-Dateien eine Warnung angezeigt wird.

Quelle(n)

Bleeping Computer via Golem

Verwandte Artikel

Discord ist in der Türkei verboten (Bildquelle: Generiert mit DALL-E 3)

Discord ist nun nach Gerichtsbeschluss in der Türkei verboten 09.10.2024

Elon Musk äußert Sicherheits- und Datenschutzbedenken gegenüber der KI-Funktion Windows Recall (Bild: Microsoft).

Elon Musk bezeichnet die Windows Recall KI-Funktion als "Black Mirror Episode" wegen Datenschutzbedenken 24.05.2024

Microsoft ist eine potentielle Bedrohung für die Cybersicherheit (Quelle: DALL-E 3-generiertes Bild)

Ehemaliger Direktor für Cyber-Politik im Weißen Haus sieht Microsoft als nationales US-Sicherheitsrisiko 23.04.2024

Der Cosmic Desktop von System76 befindet sich derzeit in der Pre-Alpha-Phase, steht aber bereits zum Testen zur Verfügung (Bild: System76).

System76: Cosmic Desktop-Umgebung erhält Nvidia-Verbesserungen und viele neue Funktionen im aktuellen Pre-Alpha-Update 22.04.2024

Tief blau sind die G7-Staaten, Ukraine und China. Keine Daten gibt es leider zu Russland. (Bild: imperva)

Jeder zweite Klick ein Bot: menschliche Aktivität im Internet fast in der Minderheit 19.04.2024

Open-Source-Projekt pylyzer findet Fehler in Python-Skripten 17.04.2024

aider ist ein KI-Programmierassistent für das Terminal (Bild: generiert mit Dall-E 3).

KI-Code-Assistent "aider" hilft bei Programmierung mit ganzen GitHub-Repositories 15.04.2024

Das US-Verteidigungsministerium ordnet wegen der Gefahr von Cyber-Angriffen den Austausch von Batteriespeichersystemen aus China an (Foto: Camp Lejeune - Lance Cpl. Loriann Dauscher).

US-Verteidigungsministerium verbietet proaktiv chinesische Batteriespeichersysteme aufgrund potentieller Bedrohungen aus dem Ausland 15.04.2024

Arlo: Neue Indoor-Sicherheitskamera mit höherer Auflösung

Arlo Essential 2K: Neue Überwachungskamera mit smarten Funktionen und höherer Auflösung 14.04.2024

Die neu entdeckte Sicherheitslücke sorgt für Unruhe in der Linux-Community (Bild: generiert mit Dall-E 3).

Neue Sicherheitslücke im Linux-Kernel verschafft Angreifern Root-Rechte 12.04.2024

Hacker nutzen anfällige Facebook-Seiten, um Malware zu verbreiten (Bild: Midjourney).

Gefälschte Midjourney AI Facebook-Seite mit 1,2 Millionen Followern wegen Verbreitung von Malware gesperrt 11.04.2024

Bitdefender entdeckt Root-Schwachstelle in LG WebOS-basierten HDTVs und Monitoren für kommerzielle Beschilderung (Quelle: LG).

Bitdefender veröffentlicht Details zur Root-Schwachstelle in LG WebOS v4 bis v7, die LG HDTVs und kommerzielle Displays betrifft 10.04.2024

Ein transparentes Startmenü in Windows 10 (Quelle: Microsoft).

Microsoft Windows 10 ESU-Abonnements beginnen bei 61 US-Dollar pro Jahr 07.04.2024

Massive Sicherheitslücke gefährdet mehrere Linux-Distributionen, vor allem solche, die schnell aktualisiert werden (Bild: generiert mit Dall-E 3)

Backdoor in XZ-Komprimierungstools in mehrere Linux-Distributionen eingeschleust 30.03.2024

Die Globalen Themen von KDE erlauben es Skripten, Befehle als Root-Benutzer auszuführen, was ein potenzielles Sicherheitsrisiko für Benutzer der Linux-Desktopumgebung darstellt (Bild: KDE - bearbeitet).

Sicherheitslücke in KDE Plasma-Themes: Scripting-Funktion kann Root-Befehle ausführen, einschließlich des gefährlichsten Linux-Memes 27.03.2024

Loading Comments

Diesen Artikel kommentieren / Antworten

Sharp HT-SB700 Soundbar verspricht ...

Huawei Nova 12i, Nova 12 SE und Nov...

Alexander Pensler - News Writer - 469 Artikel auf Notebookcheck veröffentlicht seit 2023

Technik begleitet mich schon mein ganzes Leben, angefangen mit Nintendo-Konsolen, später kamen die ersten PC-Selbstbau-Erfahrungen hinzu, bis ich dann für lange Zeit im Apple-Lager verschwand. Doch seit ich Linux für mich entdeckt habe, benutze ich das freie Betriebssystem mit Begeisterung auf meinem Laptop und Workstation-PC. Seit 2022 arbeite ich als IT-Journalist u.a. für PC Games Hardware und bin mittlerweile als News-Redakteur mit Schwerpunkt Linux für Notebookcheck tätig.

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2024-04 > Schwachstelle in Windows-App des Telegram Messengers ermöglichte Code-Ausführung nach Klick auf Video

Autor: Alexander Pensler, 15.04.2024 (Update: 15.04.2024)