Schwachstelle in Windows-App des Telegram Messengers ermöglichte Code-Ausführung nach Klick auf Video
Die Windows-Anwendung des bekannten Messengers Telegram enthält im Quellcode eine Liste von Dateierweiterungen, bei denen eine Sicherheitswarnung ausgegeben wird, wenn eine solche Datei angeklickt wird. Dazu gehören beispielsweise ausführbare Windows-Dateien, bei denen die Telegram Windows-Anwendung folgende Warnung ausgibt: "Diese Datei hat die Endung .exe. Sie könnte deinen Computer beschädigen. Willst du sie wirklich ausführen?"
Ein solcher Dialog sollte eigentlich auch bei ausführbaren Skripten in der Programmiersprache Python mit der Endung .pyzw erscheinen. Ein Buchstabendreher in ".pywz" führte jedoch dazu, dass bei Python-Zip-Archiven keine Warnung erschien, sondern der Code nach Anklicken eines Links direkt ausgeführt wurde, sofern auf dem Windows-System ein Python-Interpreter vorhanden war. Wird ein solches Python-Skript nun beispielsweise mit dem Dateityp "video/mp4" getarnt, erscheint die ausführbare Datei als Video im Telegram Messenger.
Server-seitiger Workaround bereits implementiert
In einer Stellungnahme gegenüber Bleeping Computer erklärten die Telegram-Entwickler: "Im Telegram Desktop gab es [...] ein Problem, bei dem der Nutzer auf eine bösartige Datei KLICKEN musste, während der Python-Interpreter auf seinem Computer installiert war. Im Gegensatz zu früheren Berichten handelte es sich nicht um eine "Zero-Click"-Schwachstelle, die nur einen winzigen Bruchteil unserer Nutzer betreffen konnte: Weniger als 0,01% unserer Nutzer haben Python installiert und verwenden die entsprechende Version von Telegram für Desktop".
Der Tippfehler im Quellcode auf GitHub wurde vom Telegram-Team bereits behoben, eine aktualisierte Windows-App mit dem korrigierten Code ist jedoch noch nicht verfügbar. Zusätzlich haben die Entwickler des Telegram Messengers jedoch einen serverseitigen Fix eingespielt, wodurch Python-Skript-Archive unter Windows auch in älteren Versionen mit dem Fehler im Code nicht mehr direkt ausgeführt werden, sondern wie bei EXE-Dateien eine Warnung angezeigt wird.