Уязвимость BDU:2024-05863

Идентификатор: BDU:2024-05863.

Наименование уязвимости: Уязвимость программы мгновенного обмена сообщениями Telegram для Android, связанная с некорректным отображением расширений получаемых файлов, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость программы мгновенного обмена сообщениями Telegram для Android связана с некорректным отображением расширений получаемых файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код путем отправки специально созданных медиафайлов
Уязвимое ПО: Прикладное ПО информационных систем Telegram Messenger LLP Telegram Messenger до 10.14.4 включительно |

Наименование ОС и тип аппаратной платформы: Android — |
Дата выявления: 26.06.2024.
CVSS 2.0: AV:N/AC:L/Au:S/C:C/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8,5)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,7)

Возможные меры по устранению:
Использование рекомендаций:
Обновление программного обеспечения до версии 10.14.5 и выше:
https://telegram.org/android.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-7014.
Прочая информация: Данная уязвимость получила название EvilVideo.
Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://vuldb.com/ru/?id.272279
https://sok.fm/news/134616
https://github.com/advisories/GHSA-6hr2-22jp-cfqq
https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/
https://github.com/absholi7ly/PoC-for-CVE-2024-7014-Exploit