В Telegram нашли критическую уязвимость с оценкой 9,8 из 10
В реестре Zero Day Initiative появилась запись о ранее неизвестной уязвимости Telegram, которой присвоили критичность 9,8 балла из 10. Такой уровень сразу привлек внимание, потому что речь идет о сочетании сразу нескольких тревожных признаков: атака возможна через сеть, не требует привилегий и, судя по вектору CVSS, не зависит от действий жертвы. Технические детали пока скрыты, но уже сейчас история выглядит одной из самых серьезных для мессенджера за последнее время.Что уже подтверждено официально
В базе ZDI уязвимость проходит под идентификатором ZDI-CAN-30207 и привязана к Telegram. Исследователем указан Майкл Деплант, а датой уведомления вендора - 26 марта 2026 года. В карточке также стоит крайний срок 24 июля 2026 года, до которого команда сервиса может подготовить исправление до публичного раскрытия деталей. Это важный момент: сам факт записи в ZDI уже подтвержден, а вот техническая механика атаки пока закрыта от публики.Почему оценка 9,8 из 10 вызывает такой резонанс
Оценка 9,8 по шкале CVSS почти всегда означает не просто серьезную ошибку, а уязвимость с очень высоким потенциальным ущербом. Такой балл получают проблемы, которые можно использовать удаленно, без сложной подготовки и без доступа к внутренним настройкам системы. В случае с Telegram это означает, что исследователи и профильные медиа увидели набор признаков, характерный для максимально опасных сценариев. Даже без публикации деталей уже понятно, почему тема моментально вышла за пределы узкопрофессионального круга.Что означает вектор атаки без технического шума
Опубликованный вектор CVSS говорит о четырех ключевых вещах. Первое - атака идет по сети, то есть физический доступ к устройству не нужен. Второе - сложность эксплуатации оценивается как низкая. Третье - атакующему не нужны права внутри системы или уже существующая учетная запись. Четвертое - со стороны жертвы не требуется взаимодействие вроде перехода по ссылке или открытия вложения. В сумме это и создает ощущение, что речь идет о проблеме не уровня "неприятный баг", а уровня "системный риск".Почему подробности не раскрывают сразу
Такие истории обычно идут по модели координированного раскрытия. Сначала исследователь сообщает о находке разработчику, затем у компании есть ограниченное окно на выпуск исправления, и только после этого появляются технические подробности. В случае Telegram дедлайн в реестре стоит на 24 июля 2026 года. До этой даты публикация точного механизма атаки только ухудшила бы положение пользователей, потому что дала бы злоумышленникам ориентир раньше, чем большинство людей успело бы обновить приложение.Можно ли уже говорить о взломе любого аккаунта
Нет, в такой формулировке это пока не подтвержденный факт, а жесткая интерпретация тяжести уязвимости. Проект 3side допустил, что по своей категории проблема "скорее всего" позволяет взломать любой аккаунт Telegram, и именно эта оценка разошлась по медиа. Но до публикации полного advisory нельзя уверенно сказать, какие клиенты затронуты, все ли платформы уязвимы одинаково, есть ли ограничения по версии приложения и насколько практична эксплуатация в реальной среде. Сейчас корректнее говорить так: у Telegram зафиксирована критическая уязвимость с очень опасным профилем, но ее реальный охват пока не раскрыт.Что это значит для пользователей прямо сейчас
Паника здесь не помогает, а базовая гигиена помогает. Пользователям есть смысл следить за обновлениями Telegram и ставить их без пауз, не пользоваться сомнительными модифицированными клиентами, проверить активные сеансы и включить двухэтапную проверку, если она еще не включена. Эти меры не отменяют риск уязвимости класса zero-click, если именно о таком сценарии идет речь, но они уменьшают последствия возможного компрометационного эпизода и сокращают окно для дальнейшего захвата аккаунта.Почему эта история важна шире самого Telegram
Telegram давно стал не просто мессенджером, а рабочей платформой для медиа, бизнеса, сервисных уведомлений, сообществ и личной переписки. Когда критическая проблема появляется у такого продукта, речь идет уже не об одном приложении на телефоне, а о большой цифровой инфраструктуре. Поэтому главная ценность нынешней новости не в громком заголовке, а в напоминании, что даже крупные и привычные сервисы остаются подвижной мишенью и требуют такой же дисциплины обновлений, как браузеры, операционные системы и почтовые клиенты.Итог
На 28 марта 2026 года подтверждено главное: в базе Zero Day Initiative есть запись о критической уязвимости Telegram с оценкой 9,8 из 10, найденной Майклом Деплантом и переданной вендору 26 марта. Подробности закрыты до завершения окна на исправление, поэтому любые громкие выводы о точном механизме атаки пока преждевременны.Но и недооценивать ситуацию не стоит. Когда уязвимость сочетает сетевую доступность, низкую сложность, отсутствие привилегий и отсутствие действий со стороны жертвы, это уже не рядовая история из мира багов. Теперь главный вопрос один: насколько быстро Telegram выпустит патч и подтвердит масштаб проблемы официально.
Редакция PavRC
KRAKEN Onion ссылка для Tor браузера: kraken2trxfc6j4qd2esnbfduzo35cmfyidgafyxujb2pfj7lxn22kyd.onion
Экстренная (неотложная) помощь в Telegram: @NS_K_BOT / @Health_SupportBot
Экстренная (неотложная) помощь в Telegram: @NS_K_BOT / @Health_SupportBot