Android 版 Telegram存在0day（证实）

ESET的研究人员发现了一个针对 Android 版 Telegram 的零日漏洞。该漏洞被称为 EvilVideo 漏洞，于 2024 年 6 月 6 日出现在一个地下论坛上。黑客利用此漏洞通过 Telegram 频道、群组和聊天传播恶意文件，并将其伪装成多媒体文件。

专家们设法获得了一个漏洞样本，以便对其进行分析并于 6 月 26 日向 Telegram 报告该问题。修复该漏洞的补丁于 2024 年 7 月 11 日在 Telegram 10.14.5 及更高版本中发布。 该漏洞使攻击者能够使用未受保护的 Android 版 Telegram（10.14.4 及更早版本）发送伪装成视频片段的恶意文件。该漏洞是在一个地下论坛上发现的，卖家在公共 Telegram 频道中演示了其操作。这使得研究人员能够获取恶意文件并对其进行测试。

分析显示，该漏洞利用了创建以多媒体预览形式出现的恶意文件的功能。当尝试播放此类“视频”时，Telegram 提示无法播放该文件并建议使用外部播放器。单击“打开”按钮后，系统会提示用户安装伪装成播放器的恶意应用。 Telegram 已在 10.14.5 版本中修复了该漏洞。现在，多媒体文件预览可以正确指示该文件是应用程序，而不是视频。

该漏洞已在 Telegram 的 Windows 版网页版和桌面客户端上进行了测试，但未能奏效。在这两种情况下，该文件均被识别为多媒体，不构成任何威胁。

还发现，漏洞卖家还提供了一项 Android 加密服务，可让防病毒软件无法检测到恶意文件。自 2024 年 1 月以来，该服务一直在同一地下论坛上宣传。

在发现零日漏洞并向 Telegram 报告后，该问题已得到解决。建议用户将应用程序更新至最新版本，以防范潜在威胁。

情报地址：https://www.welivesecurity.com/en/eset-research/cursed-tapes-exploiting-evilvideo-vulnerability-telegram-android/

GLPI(IT资产管理的开源软件) 疑似存在 RCE 0Day

HomeMatic - 预认证RCE 0day

卖家说有7千万的可利用设备。感觉在扯蛋。