Выпуск десктоп-клиента Telegram 1.4 с устранением уязвимости

Доступен новый выпуск Telegram Desktop 1.4.0 для Linux, Windows и macOS, в котором устранена уязвимость (CVE-2018–17780), приводящая к утечке сведений об IP-адресе при совершении голосового вызова (инициатор соединения может узнать IP-адрес вызываемого пользовтеля, а вызываемый IP-адрес вызывающего). Проблема проявляется в конфигурации по умолчанию и связана с установкой P2P-соединения в процессе вызова, без возможности отключить данное поведение (в версии для Android имеется настройка «peer-to-peer > nobody» для анонимизации). 0_1538289150.png

Разработчики Telegram признали данную особенность уязвимостью и выплатили сообщившему о проблеме исследователю 2000 долларов в рамках программы по выплате вознаграждений за выявление проблем с безопасностью. В версии Telegram Desktop 1.4.0 добавлена настройка режима работы P2P («Settings > Privacy and security > Calls > peer-to-peer»), позволяющая полностью отключить использование P2P или разрешить его применение только для пользователей из адресной книги.

0_1538290570.png

В новой версии также полностью переработан раздел с настройками, реализована опция для отключения анимированных эффектов для снижения нагрузки на CPU и добавлен новый переключатель тем оформления для чата. Улучшено кэширования изображений и добавлена настройка для управления размером кэша и временем нахождения записей в кэше. Код клиентского ПО Telegram написан с использованием библиотеки Qt и распространяется под лицензией GPLv3.

© OpenNet