Telegram: нет критической уязвимости нулевого дня, которая якобы позволяет взломать аккаунт через вредоносный стикер

[dTi]

Ее нашли подозрительно близко к дате «окончательной» блокировки. Совпадение, наверно.

[saipr]

Всё это мне напоминает борьбу в первой половине 90-х с tcl/tk, когда заметный удар по набирающему популярность языку нанёс Ричард Столлман, опубликовав в сентябре 1994 году в ряде новостных групп рекомендацию «Почему вы не должны использовать Tcl». Это было субъективное мнение, но, как говорится, осадочек остался.

Так же и в этой борьбе с Telegram ключевые слова "потенциально" и "если"...

[RoasterToaster]

[Prox88]

Ну тогда ждём июня..

[digrobot]

Если успешность взлома зависит от того, отфильтрует сервер картинку, или нет - то это называется бэкдор.

[shanker]

исследователь ошибся

Ой, как знакомо. Мне как-то тоже разработчики (блокчейна Hyperledger Fabric) говорили, что я всё напутал и я должен сам отозвать CVE. Потом пытались сами отозвать CVE (но, неудачно). Изначально даже не желали проверять шаги для воспроизведения проблемы. Надув щёки уверяли, что им это не нужно - они по коду видят, что этого просто быть не может. Потом, правда, выяснилось, что они сами запутались в своём же коде: когда, что и зачем они проверяют. Под конец разрабы решили, что виноваты всё, кроме них: MITRE якобы штампует CVE без разбора, багхантер лжёт ради KPI, пользователи блокчейна сами должны догадаться о проблеме и просто делать правильно. Подробнее я писал в статье Как я зарегистрировал CVE и разозлил вендора.

Возвращаясь к ситуации с телегой. Согласен с мнением, что маловерноятно, чтобы известный исследователь ZDI (8 лет стажа, ~200 CVE, согласно его сайта) мог сдать в Telegram неэксплуатабельную ерунду без пруфов.

[geov]

Те, кто хоть раз видел код телеграма, скептически отнесуться к этому «опровержению».