x

Telegram Android တွင် ဖြစ်ပေါ်နေသော ဆိုက်ဘာလုံခြုံရေးအားနည်းချက် (CVE-2024-7014) နှင့်စပ်လျဉ်း၍ သတိပေးချက်

07/24/2024 - 

ထုတ်ပြန်သည့်နေ့။ ၂၄-၇-၂၀၂၄ ရက်နေ့။

အကျဉ်းချုပ် Android Device များအတွက် ရေးသားထားသော Telegram App တွင် အန္တရာယ်ရှိသော လုံခြုံရေးအားနည်းချက် ဖြစ်ပေါ်လျက်ရှိပြီး အဆိုပါအားနည်းချက်သည် Telegram Version 10.14.4 ထိ ထိခိုက်မှု ရှိပါသည်။ CVE-2024-7014 အဖြစ် သတ်မှတ်ထားသော ဤအားနည်းချက်သည် Telegram ၏ Video Handler အစိတ်အပိုင်းရှိ Input ထည့်သွင်းခြင်းအမှား တစ်ခုကြောင့်ဖြစ်ပြီး ဟက်ကာများအား အဝေးမှတိုက်ခိုက်ခြင်းကို ဆောင်ရွက်စေနိုင်ပါသည်။

ထိခိုက်မှု။       ဤအားနည်းချက်သည် Telegram သုံးစွဲသူ မသိရှိဘဲ အဖျက်အမှောက် App များကို ဖုန်းတွင် အလုပ်လုပ်နိုင်စေရန်အတွက် တိုက်ခိုက်သူများအား ဗီဒီယိုဖိုင်များကို စိတ်ကြိုက် စီမံခွင့်ပြုစေပြီး သုံးစွဲသူ၏ အချက်အလက်များနှင့်စပ်လျဉ်းသည့် လျှို့ဝှက်မှု၊ စစ်မှန်မှုနှင့် သုံးစွဲနိုင်မှုအပေါ် ကြီးမားသော ခြိမ်းခြောက်မှု ဖြစ်စေပါသည်။

တိုက်ခိုက်ခံရနိုင်သော Version များ။ Android ဖုန်းများတွင် အသုံးပြုသော Telegram Version 10.14.0 မှ 10.14.4 ထိ ဖြစ်ပါသည်။

အသေးစိတ်အချက်များ။ ဤပြဿနာသည် Telegram ၏ Video Handler အစိတ်အပိုင်းအတွင်း Input ထည့်သွင်းခြင်းကို မမှန်မကန် အတည်ပြုခြင်းကြောင့် ဖြစ်ပါသည်။ တိုက်ခိုက်သူများသည် အထူးပြုလုပ်ထားသော ဗီဒီယိုဖိုင်များကို ပို့ခြင်းဖြင့် ဤအားနည်းချက်ကို တိုက်ခိုက်နိုင်ပြီး ထိခိုက်မှုရှိနိုင်သော Telegram Version များက အဆိုပါ ဗီဒီယိုဖိုင်အား ဖွင့်ရန်ဆောင်ရွက်သည့်အချိန်တွင် အဖျက်အမှောက်ကုဒ်များကို လုပ်ဆောင်စေပါသည်။ ဤတိုက်ခိုက်မှုဖြစ်စဉ်အတွက် Authentication ဝင်ရောက်ရန် မလိုအပ်သောကြောင့် မည်သည့်အဝေးရောက်တိုက်ခိုက်သူများမဆို တိုက်ခိုက်နိုင်ပါသည်။

တိုက်ခိုက်မှုမှ လျော့ပါးစေရေးအတွက် အကြံပြုချက်များ

(၁) ချက်ချင်း Update လုပ်ပါ။ သုံးစွဲသူများသည် ၎င်းတို့၏ Telegram App ကို အားနည်းချက် ဖြေရှင်းပေးနိုင်သည့် Version 10.14.5 သို့ ချက်ချင်း Update လုပ်ပါ။

(၂) မီဒီယာဖိုင်များကို အလိုအလျောက် Download လုပ်ခြင်းအား ပိတ်ထားပါ။ တိုက်ခိုက်နိုင်ခြေကို လျှော့ချရန်အတွက် သုံးစွဲသူများသည် Telegram Settings တွင် မီဒီယာဖိုင်များကို အလိုအလျောက် Download လုပ်ခြင်း လုပ်ဆောင်ချက်အား ပိတ်ထားသင့်သည်။

(၃) သုံးစွဲသူများ သတိထားရန်။ အသုံးပြုသူများသည် မိမိတို့၏ အသိအကျွမ်းများထံမှပင်လျှင် ဗီဒီယိုဖိုင်များကို လက်ခံရှိချိန်တွင် သတိထားသင့်ပြီး နောက်ထပ်ဆော့ဖ်ဝဲလ်များ သို့မဟုတ် ဗီဒီယိုပလေယာများကို Install ပြုလုပ်ရန် တောင်းဆိုသည့်အချက်များကို စစ်ဆေးအတည်ပြုသင့်ပါသည်။

နည်းပညာဆိုင်ရာ အသေးစိတ်အချက်များ

CVE အမှတ်။ CVE-2024-7014။

တိုက်ခိုက်မှုပုံစံ။ ကွန်ရက်မှတစ်ဆင့် တိုက်ခိုက်ခြင်း။

Authentication။ တိုက်ခိုက်မှုအတွက် မလိုအပ်ပါ။

ဤလုံခြုံရေးအားနည်းချက်ကြောင့်ဖြစ်ပေါ်သော တိုက်ခိုက်မှုဖြစ်စဉ်များနှင့်စပ်လျဉ်း၍ ဆက်သွယ်တိုင်ကြားလိုပါက မြန်မာနိုင်ငံကွန်ပျူတာအရေးပေါ်တုံ့ပြန်ရေးအဖွဲ့၏ ဖုန်းနံပါတ်ဖြစ်သော ၀၆၇-၃၄၂၂၂၇၂ သို့ ဖုန်းဆက်၍ဖြစ်စေ၊ infoteam@mmcert.org.mm နှင့် incident@ncsc.gov.mm တို့သို့ အီးမေးလ်ပေးပို့၍ဖြစ်စေ တိုင်ကြားနိုင်ပါကြောင်း သတိပေးကြေညာအပ်ပါသည်။

 

မြန်မာနိုင်ငံကွန်ပျူတာအရေးပေါ်တုံ့ပြန်ရေးအဖွဲ့