Исправлена уязвимость нулевого дня в Telegram

Исследователи «Лаборатории Касперского» сообщили об уязвимости нулевого дня в Windows-клиенте популярного мессенджера Telegram. Первые атаки, эксплуатирующие уязвимость, были зафиксированы еще в марте минувшего года. Эти атаки использовали принцип right-to-left override (RLO) при отправке файлов. В таблице Unicode существует непечатный (скрытый) символ U+202E, который служит для изменения порядка следующих за ним в строке знаков на противоположный. Он используется для языков с письмом справа налево, однако злоумышленники нашли ему другое применение.

Скажем, вредоносный JavaScript-код может при атаке RLO быть замаскирован под файл изображения. Для этого в имени файла, окачивающемся на gnp.js, требуется поставить перед gnp скрытый символ U+202E. В этом случае окончание имени файла будет в Telegram «отзеркалено» и воспроизведено как sj.png – что соответствует расширению файла изображения. Таким способом хакеры рассылали пользователям вредоносное ПО – главным образом, шпионские программы и майнеры криптовалюты, замаскированные под безобидные картинки.

Анализ «Лаборатории Касперского» свидетельствует о том, что все атаки, эксплуатировавшие уязвимость, были направлены исключительно против российских пользователей. После сообщения о проблеме разработчикам Telegram уязвимость была устранена.