详细内容或原文请订阅后点击阅览
被诅咒的磁带:利用 Android 版 Telegram 上的 EvilVideo 漏洞
ESET 研究人员发现了一个 Android 版 Telegram 零日漏洞,该漏洞允许发送伪装成视频的恶意文件
来源:WeLiveSecurity _恶意软件ESET researchers discovered a zero-day exploit that targets Telegram for Android, which appeared for sale for an unspecified price in an underground forum post from June 6th, 2024. Using the exploit to abuse a vulnerability that we named EvilVideo, attackers could share malicious Android payloads via Telegram channels, groups, and chat, and make them appear as multimedia files.
th我们能够找到一个漏洞利用的示例,使我们能够进一步分析它,并于2024年6月26日将其报告给Telegram。7月11日,他们发布了一个更新,该更新解决了Telegram Versions 10.14.5及更高版本中的漏洞。
图1是邪恶脆弱性的视频演示和解释。
图1。
博客文章的要点:2024年6月26日,在一个地下论坛上,我们找到了一个针对Android电报的零日漏洞的广告。我们将其命名为“漏洞”,其漏洞利用了Evilvideo,并将其报告给Telegram;他们的团队于2024年7月11日对其进行了修补。EVILVIDEO允许攻击者在Android的未拨打电报中以视频文件出现的恶意有效载荷。该功能仅在Android Telegram版本10.14.4及以上。
博客文章的要点:
- 在2024年6月26日在一个地下论坛上,我们找到了一个针对Android电报的零日漏洞的广告。我们将其命名为“漏洞”,其漏洞是剥削了Evilvideo并将其报告给Telegram;他们的团队于2024年7月11日对其进行了修补。EVILVIDEO允许攻击者在Android的未拨打电报中以视频文件出现的恶意有效载荷。该功能仅在Android Telegram版本10.14.4及以上。