Post #181

⚠️⚠️⚠️⚠️警告⚠️⚠️⚠️⚠️ *Telegram大概于 UTC+8 2024年4月12日18:25，在服务端进行了修复，pyzw文件后会有untrusted的标记。 Telegram Desktop版本远程代码执行漏洞已被确认 危害程度极高，建议用户根据文章建议关闭自动下载功能 ▎情况介绍 ・4月9日 一条视频宣称Telegram Desktop客户端有漏洞，能轻松实现远程代码执行恶意攻击 当日，Telegram 称无法确认 Desktop 版本远程代码执行漏洞 ・4月12日 笔者发现，Telegram Desktop Github库下一条PR中提到一个Bug，能通过某种方式发送pyzw格文件，Telegram会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。 前置条件: Telegram Desktop Windows <＝v4.16.6 + 安装Python环境 ▎危害示例 点击后会打开CMD，完全没有危害性，感兴趣可以点链接跳转测试范例。 示例1 / 示例2（带封面时长文案） ▎防范方法 0. 不安装Python 1. 出于安全考虑，请禁用自动下载功能。 按照以下步骤操作： 进入设置(Settings) —— 点击“高级(Advanced)” —— 在“自动下载媒体文件(Automatic Media Download")”部分，禁用所有聊天类型（私聊(Private chats)、群组(Groups)和频道(Channels)）中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载 2. 仔细观察，不要随意点击附件 3. 等待Telegram官方修复后，及时更新客户端至最新版本 ▎技术细节 在这里！ - 转载请标明来源谢谢❤️