⚠️⚠️⚠️⚠️警告⚠️⚠️⚠️⚠️
Telegram Desktop版本远程代码执行漏洞已被确认
危害程度极高,建议用户根据文章建议关闭自动下载功能
▎情况介绍
・4月9日
一条视频宣称Telegram Desktop客户端有漏洞,能轻松实现远程代码执行恶意攻击
当日,Telegram 称无法确认 Desktop 版本远程代码执行漏洞
・4月12日
笔者发现,Telegram Desktop Github库下一条PR中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。
前置条件: Telegram Desktop Windows <=v4.16.6 + 安装Python环境
▎危害示例
点击后会打开CMD,完全没有危害性,感兴趣可以点链接跳转测试范例。
示例1 / 示例2(带封面时长文案)
▎防范方法
0. 不安装Python
1. 出于安全考虑,请禁用自动下载功能。
按照以下步骤操作:
2. 仔细观察,不要随意点击附件
3. 等待Telegram官方修复后,及时更新客户端至最新版本
▎技术细节
在这里!
- 转载请标明来源谢谢❤️
Telegram Desktop版本远程代码执行漏洞已被确认
危害程度极高,建议用户根据文章建议关闭自动下载功能
▎情况介绍
・4月9日
一条视频宣称Telegram Desktop客户端有漏洞,能轻松实现远程代码执行恶意攻击
当日,Telegram 称无法确认 Desktop 版本远程代码执行漏洞
・4月12日
笔者发现,Telegram Desktop Github库下一条PR中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。
前置条件: Telegram Desktop Windows <=v4.16.6 + 安装Python环境
▎危害示例
点击后会打开CMD,完全没有危害性,感兴趣可以点链接跳转测试范例。
示例1 / 示例2(带封面时长文案)
▎防范方法
1. 出于安全考虑,请禁用自动下载功能。
按照以下步骤操作:
进入设置(Settings) —— 点击“高级(Advanced)” —— 在“自动下载媒体文件(Automatic Media Download")”部分,禁用所有聊天类型(私聊(Private chats)、群组(Groups)和频道(Channels))中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载
2. 仔细观察,不要随意点击附件
3. 等待Telegram官方修复后,及时更新客户端至最新版本
▎技术细节
在这里!
- 转载请标明来源谢谢❤️
