QQ Windows 被曝光远程代码执行漏洞

QQ Windows 被曝光远程代码执行漏洞 2023 年 8 月 20 日，赛博昆仑发布报告， QQ Windows 桌面客户端有远程执行的漏洞。 该漏洞为逻辑漏洞，攻击者可以利用该漏洞在 QQ 客户端上进行无需用户确认的文件下载执行行为，当用户点击消息链接时，QQ 客户端会自动下载并打开文件， 最终实现远程代码执行的目的。 影响范围：QQ Windows 版 9.7.13 及以前版本，建议谨慎点击任何消息链接，并使用安全软件扫描下载文件是否异常。

警告Telegram Desktop版本远程代码执行漏洞已被确认

警告 Telegram Desktop版本远程代码执行漏洞已被确认 危害程度极高，建议用户根据文章建议关闭自动下载功能 ▎情况介绍 ・4月9日 一条视频宣称Telegram Desktop客户端有漏洞，能轻松实现远程代码执行恶意攻击 ・4月12日 笔者发现，，能通过某种方式发送pywz格文件，Telegram会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。 前置条件: Telegram Desktop Windows <＝v4.16.6 + 安装Python环境 ▎危害示例 点击后会打开CMD，完全没有危害性，感兴趣可以点链接跳转测试范例。 / ▎防范方法 0. 不安装Python 1. 出于安全考虑，请禁用自动下载功能。 按照以下步骤操作： 进入设置(Settings) 点击“高级(Advanced)” 在“自动下载媒体文件(Automatic Media Download")”部分，禁用所有聊天类型（私聊(Private chats)、群组(Groups)和频道(Channels)）中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载 2. 仔细观察，不要随意点击附件 3. 等待Telegram官方修复后，及时更新客户端至最新版本 ▎技术细节 - 转载请标明来源谢谢

再度反转：Telegram Desktop 版本远程代码执行漏洞被复现

再度反转：Telegram Desktop 版本远程代码执行漏洞被复现 该漏洞危害程度很高，建议用户根据文章建议关闭自动下载功能 4月9日一条视频宣称 Telegram Desktop 客户端有漏洞，能轻松实现远程代码执行恶意攻击。当日，称无法确认 Desktop 版本远程代码执行漏洞。 4月12日 Rosmontis_Daily 发现： Telegram Desktop库下一条PR中提到一个 Bug，能通过某种方式发送 pyzw 格文件，Telegram 会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。前置条件: Telegram Desktop Windows <＝v4.16.6 + 安装Python环境。 出于安全考虑，请禁用自动下载功能。 按照以下步骤操作： 进入设置(Settings) 点击“高级(Advanced)” 在“自动下载媒体文件(Automatic Media Download)”部分，禁用所有聊天类型“私聊(Private chats)、群组(Groups)和频道(Channels)”中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察，不要随意点击附件。

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞 Clash for Windows 的开发者确认了一个的远程代码执行漏洞，包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。 GitHub 用户 LDAx2012 说，当受攻击者订阅了一个恶意链接，订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖，cfw-setting.yaml 中 parsers 的 js代码将会被执行。 该漏洞还在修复中，普通用户应该避免使用不可靠来源的订阅。

重要： Clash for Windows存在远程代码执行漏洞，可能存在恶意代码执行风险及目录穿越问题

重要： Clash for Windows存在远程代码执行漏洞，可能存在恶意代码执行风险及目录穿越问题 影响版本：0.20.12 及以下切使用 CFW 用户［包括支持 rule-providers path 的第三方客户端］ 风险等级：一般［执行操作需要用户手动订阅完成，但可能存在恶意引导问题］ 处置建议：用户应当清楚自己的订阅文件内容，且是由可信来源获取，并已对此进行了审核， 本次漏洞为 Clash 对于订阅文件中的rule-providers 的 path 的不安全处理出现了目录穿越问题，同时导致 cfw-setting.yaml 会被覆盖，且 cfw-setting.yaml 中 parsers 的 js代码将会被执行 注：开发团队已经被告知该问题，且正在考虑如何着手修改。普通用户不应当订阅来自互联网上的不明订阅链接，其中很可能被插入恶意代码，特别是在较新版本后客户端支持在 parser 中执行 js 代码［对于配置文件进行预处理］

【慢讯】Telegram的RCE已修复

【慢讯】Telegram的RCE已修复 Telegram Desktop存储库的data_document_resolver.cpp文件源代码中对Python Zipapp的扩展名拼写错误造成了本次RCE，会让适用于Windows版本的Telegram Desktop绕过安全警告并自动执行扩展名为pyzw的Python文件，并伪装成视频文件来欺骗用户点击执行。如果用户的操作系统是Windows，并安装了Python，这会给攻击者执行远程代码一个可乘之机。 目前GitHub上的存储库已合并修复此安全漏洞的拉取请求，同时Telegram官方通过服务端对pyzw扩展名的强行添加untrusted后缀阻止Windows系统自动执行以策所有用户的安全。 POC: 消息来源： 投稿By:kishinsagi 管理员：为了安全，近期我们已完成查询墙国蛙蛤蛤旗下运营的三个群组的所有聊天记录和近2天的删除记录，没有迹象表明中共国安正在使用此手段针对用户进行钓鱼，目前管理员和小编无一人受此影响（但不排除针对其他用户进行私信钓鱼）。 #编程随想