Вокруг Telegram разгорелась неприятная история с возможной уязвимостью. В базе Zero Day Initiative действительно появилась запись ZDI-CAN-30207, связанная с Telegram. В ней указано, что проблема была передана компании 26 марта 2026 года, а крайний срок публичного раскрытия назначен на 24 июля 2026 года. Исследователем назван Michael DePlante (@izobashi) из TrendAI Zero Day Initiative.
В ранних пересказах этой истории фигурировала оценка 9,8 из 10 по CVSS, и именно она разогнала волну заголовков про «критическую уязвимость и едва ли не удалённый взлом без участия пользователя. Но на текущий момент в карточке ZDI для Telegram указан уже CVSS 7,0. Такая оценка означает локальную атаку, высокую сложность эксплуатации, для которой необходимы действия пользователя.
Подробностей уязвимости нет. После первых публикаций пресс-служба мессенджера в комментарии изданию «Код Дурова» заявила, что описанной критической уязвимости не существует. Пересказ этого комментария появился в медиа, включая Habr и «Газета.Ru». В версии Telegram исследователь ошибся, а один из обсуждавшихся сценариев атаки через стикер технически невозможен, потому что все стикеры проходят серверную проверку. На данный момент нет публичного технического описания или подтверждённого эксплойта в открытом доступе.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
