9,8 из 10. В Telegram обнаружили 0day-баг, позволяющий захватить аккаунт без ведома владельца
Личные чаты пользователей остались один на один с критической уязвимостью.
У Telegram появился повод для срочной работы над защитой мессенджера. В базе Zero Day Initiative появилась запись о критической уязвимости с оценкой 9,8 балла из 10, а срок на исправление проблемы ограничили четырьмя месяцами. Подробностей пока нет, но уже опубликованных данных хватило, чтобы находка привлекла внимание специалистов.
Речь идёт о записи ZDI-CAN-30207, которую передали Telegram 26 марта 2026 года. Публичное раскрытие назначили на 24 июля 2026 года, если компания не устранит проблему раньше. Уязвимость обнаружил Майкл Деплант, связанный с проектом TrendAI Zero Day Initiative.
Техническое описание пока не раскрывают. Такой подход для Zero Day Initiative обычен — команда даёт разработчику время на выпуск обновления и лишь потом публикует детали. По этой причине говорить о массовых атаках или полном сценарии взлома пока рано. На данный момент подтверждён только сам факт существования критической уязвимости и срок, который дали Telegram на исправление.
При этом предварительная оценка выглядит тревожно. Указанный CVSS-вектор говорит об удалённой атаке по сети с низкой сложностью эксплуатации, без привилегий и без участия пользователя. При подтверждении таких параметров проблема может оказаться в числе самых опасных, поскольку подобные уязвимости нередко позволяют атакующему получить полный контроль над процессом и одновременно затрагивают конфиденциальность, целостность и доступность данных.
По доступной информации, Telegram пока публично не комментировал находку. На официальных новостных площадках мессенджера сообщений о ZDI-CAN-30207 на момент публикации не появилось. С учётом уровня критичности рынок теперь будет ждать не объяснений, а быстрого выпуска исправления.