- Статус
- Offline
- Регистрация
- 23 Авг 2015
- Сообщения
- 1,022
- Реакции
- 561
- Депозит
- 0р
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Уязвимость позволяет обойти установленное ограничение на количество символов в отправляемых сообщениях.
Независимый исследователь из Ирана Сад Гаф (Sad Ghaf) обнаружил в защищенном мессенджере Telegram любопытную уязвимость, позволяющую обойти установленное ограничение на количество символов в отправляемых сообщениях.
Telegram разрешает отправлять сообщения, содержащие от 1 до 4096 знаков. Обнаруженная Гафом программная ошибка позволяет обойти данное ограничение и отправлять сообщения произвольной длины. При этом адресат будет получать всю входящую корреспонденцию вне зависимости от ее размера, что может привести к отказу в обслуживании устройства при недостаточном количестве свободной памяти.
Проэксплуатировав ошибку, исследователь смог отправить два сообщения, одно из которых содержало 30 тыс. символов, а второе было пустым. По словам Гафа, злоумышленник может воспользоваться данной возможностью и отправить сообщения длиной в несколько миллионов знаков на устройство жертвы.
Гаф попытался связаться с администрацией Telegram, чтобы проинформировать об уязвимости, однако безуспешно. Поскольку в настоящее время ошибка остается неисправленной, эксперт отказался раскрывать подробности о ней. Тем не менее, Гаф опубликовал PoC-видео с демонстрацией атаки.
Напомним, в феврале прошлого года в мессенджере была исправлена потенциальная уязвимость, позволявшая злоумышленнику имитировать активность в секретных чатах от имени пользователей.
Независимый исследователь из Ирана Сад Гаф (Sad Ghaf) обнаружил в защищенном мессенджере Telegram любопытную уязвимость, позволяющую обойти установленное ограничение на количество символов в отправляемых сообщениях.
Telegram разрешает отправлять сообщения, содержащие от 1 до 4096 знаков. Обнаруженная Гафом программная ошибка позволяет обойти данное ограничение и отправлять сообщения произвольной длины. При этом адресат будет получать всю входящую корреспонденцию вне зависимости от ее размера, что может привести к отказу в обслуживании устройства при недостаточном количестве свободной памяти.
Проэксплуатировав ошибку, исследователь смог отправить два сообщения, одно из которых содержало 30 тыс. символов, а второе было пустым. По словам Гафа, злоумышленник может воспользоваться данной возможностью и отправить сообщения длиной в несколько миллионов знаков на устройство жертвы.
Гаф попытался связаться с администрацией Telegram, чтобы проинформировать об уязвимости, однако безуспешно. Поскольку в настоящее время ошибка остается неисправленной, эксперт отказался раскрывать подробности о ней. Тем не менее, Гаф опубликовал PoC-видео с демонстрацией атаки.
Напомним, в феврале прошлого года в мессенджере была исправлена потенциальная уязвимость, позволявшая злоумышленнику имитировать активность в секретных чатах от имени пользователей.
