В Telegram нашли уязвимость нулевого дня, в мессенджере это опровергли

Уязвимость нулевого дня обнаружил в мессенджере Telegram исследователь из TrendAI Michael DePlante (izobashi). Его манифест опубликовала Zeroday Initiative.

Уязвимость получила внутренний идентификатор ZDI-CAN-30207 и оценку 9.8 баллов из 10 по шкале CVSS. Эксперты отмечают, что брешь является предельно простой в эксплуатации и позволяет получать доступ к аккаунтам по сети без ведома владельцев.

Telegram дали четыре месяца на устранение проблемы. Поскольку сведения были переданы разработчикам мессенджера 26 марта 2026 года, возможное публичное раскрытие назначили на 24 июля. В чём именно состоит механизм реализации уязвимости, пока неизвестно. Однако многие эксперты сходятся во мнении, что такая серьёзная проблема с высокой долей вероятности связана с удалённым выполнением кода.

Возможная эксплуатация уязвимости без участия пользователя дополнительно повышает риски. Таким образом атакующий может получить полный контроль над аккаунтом. Это означает, что найденная «дыра» затрагивает одновременно и конфиденциальность, и целостность, и доступность. 

Однако в пресс-службе Telegram на запрос издания «Код Дурова» заявили, что никакой уязвимости нет. Представители мессенджера сообщили, что исследователь Майкл ДеПланте ошибочно утверждает, что атака через стикер с вредоносным кодом возможна. По словам компании, все стикеры проходят проверку на серверах до того, как попадают в клиенты Telegram. Поэтому такой эксплойт в принципе нереализуем.