Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Telegram Web Üzerinde XSS Güvenlik Açığı Ortaya Çıktı

Telegram Web Üzerinde XSS Güvenlik Açığı Ortaya Çıktı

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 3 dk okuma süresi
186 0
Telegram Web Üzerindex Xss Açığı pp (1)

Telegram Web Üzerinde XSS Güvenlik Açığı Ortaya Çıktı

Telegram’da, XSS açığı aracılığıyla bir Telegram kullanıcı oturumunu ele geçirmesine izin veren yeni bir güvenlik açığı keşfedildi.

Telegram Web Üzerinde XSS Güvenlik Açığı  Telegram WebK sürümlerinde 2.0.0’ın altında bulunmaktadır.

Bu güvenlik açığı için bir CVE henüz atanmamıştır. Ancak Telegram bu güvenlik açığı üzerine hızla harekete geçti ve buna göre yama ile düzeltti. Bu güvenlik açığı web3 kullanıcılarını da etkiler.

Teknik Analiz

Telegram, Telegram Messenger arayüzünde çalışabilen web uygulamaları olan Telegram Mini Uygulamaları adlı ilginç bir özelliğe sahiptir.

Bu Mini Uygulamalar ayrıca sorunsuz yetkilendirme, Google Pay veya Apple Pay üzerinden Entegre Kripto ve itibari Ödemeler, Push Bildirimleri ve diğerleri gibi başka özelliklere de sahiptir.

Kötü amaçlı bir Mini Web Uygulaması, aşağıdaki izlenim altında keyfi JavaScript yürütmesini yürütebilir

Web sitesi üzerinden (web.telegram.org) potansiyel olarak herhangi bir Telegram kullanıcısının Oturumunu kaçırmasına izin verir. Araştırmacı, bu XSS güvenlik açığının postmessage aracılığıyla web_app_open_link olay türü aracılığıyla tetiklendiğini açıkladı.

Bu olay türü, bağımsız değişken olarak iletilen sağlanan URL’ye sahip yeni bir sekme açmak üzere tasarlanmıştır. Bu durumda bir tehdit, istismar edilen içeriği JS içinde kaydetmek için javascript şemasını kullanabilir. 

Web telegram üzerinde yeni sekme açarak kullanıcı oturumunun çalınmasına izin verir.

Bir tehdit aktörü, bir Bot + Mini Uygulaması oluşturabilir ve istismar ana sayfasına gömülü olarak kötü amaçlı bir web sitesinin URL’sini yapılandırabilir.

İlginizi çekebilecek yazımız: ​Windows 11 KB5036980 Güncellemesi Paylaşıldı

Bu Mini Uygulama başka bir kullanıcıya bağlantı olarak sağlandığında ve tıklandığında, kötü amaçlı web sitesindeki istismar, kurbanın oturum kimliğini, tehdit aktörünün daha sonra kullanıcının oturumunu kaçırmak için kullanabileceği JS yerel deposuna kaydeder.

Telegram Web Üzerinde XSS Güvenlik Açığı 2

Telegram Nasıl Yama Yaptı?

Bu güvenlik açığını gidermek için Telegram, yeni açılan bir pencerenin Referans başlığını orijinal sayfaya geri göndermesini engelleyebilecek sekme açıklığına bir safeWindow URL’si ekleyen ve noreferrer argümanı ekleyen aşağıdaki kodu ekledi.

Bununla yeni Pencere, JS yürütmesinin yanı sıra orijinal Telegram penceresinden izole edilir.

Telegram Web Üzerinde XSS Güvenlik Açığı

Bu güvenlik açığından yararlanılmasını önlemek için Telegram WEBK 2.0.0 (486) kullanıcılarının Telegram WebK 2.0.0’ın (488) en son sürümüne yükseltmeleri önerilir.

Haber Kaynağı: Cyber security news

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir