Telegram Desktop存储库的data_document_resolver.cpp文件源代码中对Python Zipapp的扩展名拼写错误造成了本次RCE,会让适用于Windows版本的Telegram Desktop绕过安全警告并自动执行扩展名为pyzw的Python文件,并伪装成视频文件来欺骗用户点击执行。如果用户的操作系统是Windows,并安装了Python,这会给攻击者执行远程代码一个可乘之机。
目前GitHub上的存储库已合并修复此安全漏洞的拉取请求,同时Telegram官方通过服务端对pyzw扩展名的强行添加untrusted后缀阻止Windows系统自动执行以策所有用户的安全。
来源 Bleeping Computer
via 学习墙国