Deutsch
English
Français
Italiano
Nederlands
Polski
Português
Русский
Türkçe
Svenska
Chinese
MagyarUna vulnerabilidad de seguridad en la aplicación de Telegram Messenger para Windows permitía la ejecución de código tras hacer clic en un vídeo
La aplicación para Windows del conocido mensajero Telegram contiene en su código fuente una lista de extensiones de archivo para las que se emite una advertencia de seguridad cuando se pulsa sobre dicho archivo. Esto incluye, por ejemplo, los archivos ejecutables de Windows, para los que la aplicación de Telegram para Windows emite la siguiente advertencia "Este archivo tiene la extensión .exe. Podría dañar su ordenador. ¿Está seguro de que desea ejecutarlo?
Este diálogo también debería aparecer para los scripts ejecutables en el lenguaje de programación Python con la extensión .pyzw. Sin embargo, un error tipográfico (".pywz" en lugar de ".pyzw") hacía que no apareciera ninguna advertencia para los archivos zip de Python, sino que el código se ejecutaba directamente tras hacer clic en un enlace, siempre que hubiera un intérprete de Python disponible en el sistema Windows. Si un script Python de este tipo se ofusca ahora con el tipo de archivo "video/mp4", por ejemplo, el ejecutable aparecerá como un vídeo en Telegram Messenger.
Ya existe una solución para el lado del servidor
En una declaración a Bleeping Computerlos desarrolladores de Telegram dijeron: "Había [...] un problema en Telegram Desktop en el que el usuario tenía que hacer CLICK en un archivo malicioso mientras el intérprete Python estaba instalado en su ordenador. Contrariamente a informes anteriores, no se trataba de una vulnerabilidad "zero-click" que sólo pudiera afectar a una pequeña fracción de nuestros usuarios: Menos del 0,01% de nuestros usuarios tienen Python instalado y utilizan la versión correspondiente de Telegram para escritorio".
La errata en el código fuente en GitHub ya ha sido corregida por el equipo de Telegram, pero aún no está disponible una aplicación actualizada para Windows con el código corregido. Sin embargo, los desarrolladores del mensajero Telegram también han implementado una corrección del lado del servidor, lo que significa que los archivos de script de Python ya no se ejecutarán directamente en Windows, incluso en versiones anteriores con el error en el código, sino que se mostrará una advertencia como con los archivos EXE.
Fuente(s)
![Auto SR limitado inicialmente a los equipos Copilot+ AI con procesadores Snapdragon X Elite (Fuente de la imagen: Microsoft y Qualcomm [editado])](fileadmin/_processed_/6/3/csm_Copilot-AI-PCs-with-Snapdragon-X-Elite_74c6a0ae8a.jpg)
