CVE-2024-7014

Telegram para Android, versões 10.14.4 e anteriores

Telegram para Android, versão 11.7.4

O problema está relacionado ao tratamento incorreto das extensões de arquivo nos arquivos recebidos, permitindo que um invasor envie aplicativos maliciosos disfarçados de vídeos. Isso pode levar à execução de código arbitrário no dispositivo do usuário. A vulnerabilidade é explorada através da criação de um arquivo HTML especialmente criado que é interpretado erroneamente pelo Telegram como um arquivo de vídeo válido. Quando um usuário tenta reproduzir um desses “vídeos” criados, o Telegram oferece a opção de abrir o arquivo em um aplicativo externo, o que pode levar à instalação de software malicioso. O número estimado de dispositivos potencialmente afetados não foi especificado.

Para as versões 10.14.4 e anteriores, considere desativar o recurso de reprodução de vídeo no Telegram até que uma correção esteja disponível.

Para a versão 11.7.4, restrinja o acesso ao módulo de processamento de vídeo para minimizar o risco de exploração.

Como solução temporária, evite usar o aplicativo Telegram para Android até que uma versão corrigida seja lançada.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.