安全警报 在Telegram Desktop应用程序的媒体处理中检测到可能存在的。

安全警报 在Telegram Desktop应用程序的媒体处理中检测到可能存在的。 此问题会导致用户受到通过特制媒体文件（如图片或视频）进行的恶意攻击。 出于安全原因的考量，请禁用自动下载功能。 请按照以下步骤操作： 1. 进入Settings（设置）。 2. 点击Advanced（高级）。 3. 在Automatic Media Download（自动下载媒体文件）设置中，禁用Private chats（私信）、Groups（群组）和Channels（频道）中的Photos（照片）、Videos（视频）和Files（文件）的自动下载。 消息来源

再度反转：Telegram Desktop 版本远程代码执行漏洞被复现

再度反转：Telegram Desktop 版本远程代码执行漏洞被复现 该漏洞危害程度很高，建议用户根据文章建议关闭自动下载功能 4月9日一条视频宣称 Telegram Desktop 客户端有漏洞，能轻松实现远程代码执行恶意攻击。当日，称无法确认 Desktop 版本远程代码执行漏洞。 4月12日 Rosmontis_Daily 发现： Telegram Desktop库下一条PR中提到一个 Bug，能通过某种方式发送 pyzw 格文件，Telegram 会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。前置条件: Telegram Desktop Windows <＝v4.16.6 + 安装Python环境。 出于安全考虑，请禁用自动下载功能。 按照以下步骤操作： 进入设置(Settings) 点击“高级(Advanced)” 在“自动下载媒体文件(Automatic Media Download)”部分，禁用所有聊天类型“私聊(Private chats)、群组(Groups)和频道(Channels)”中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察，不要随意点击附件。

#安全资讯：研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegr

#安全资讯：研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegram for Android 版 利用漏洞攻击者可以将恶意 APK 文件伪造成视频，Telegram 会自动下载并尝试调用此漏洞已在 7 月 11 日发布的 10.14.5 版中修复 4 月份时就有消息传出即时通讯应用 Telegram 桌面版存在高危安全漏洞，攻击者只需要向用户发送特制的媒体文件即可在无需用户交互的情况下完成感染，该漏洞依赖 Telegram 默认开启的自动下载媒体文件功能。 今天知名安全软件开发商 ESET 的研究人员披露 Telegram #另一个高危安全漏洞，#该漏洞至少在 6 月 6 日就被黑客发现并利用直到 7 月 11 日Telegram 在v10.14.5 版中才完成修复 该漏洞本质上与 Telegram 桌面版出现的漏洞类似，#都是利用 Telegram API 的一些缺陷将特制文件伪造为媒体这样就可以在 Telegram 自动下载。 在这里还是继续建议 Telegram 用户关闭自动媒体文件自动下载功能，避免攻击者利用类似的漏洞发起针对性的攻击

▎ 请禁用TG的自动下载

▎ 请禁用TG的自动下载 感谢番茄大佬提醒，TG近期被爆漏洞，出于安全考虑，请按照以下步骤操作禁用自动下载功能： 1⃣ 进入设置(Settings) 2⃣ 点击数据(Advanced) 3⃣ 在自动下载媒体文件(Automatic Media Download)菜单内，禁用所有聊天类型「私聊(Private chats)、群组(Groups)以及频道(Channels)」中的「照片(Photos)」、「视频(Videos)」和「文件(Files)」的自动下载。 原文来自 标签: #新闻 频道: @me888888888888 群组：https://t.me/imbbbbbbbbbbb 合作&推广：@imbbbbb_bot@imbbbbbbbb 消息怕错过？请及时收藏频道并开启推送！

Telegram桌面版存在高危漏洞 用户需禁用媒体(图片/视频/文件)自动下载

Telegram桌面版存在高危漏洞 用户需禁用媒体(图片/视频/文件)自动下载 目前该漏洞尚未披露并且 Telegram 也没有发布新版本进行修复，因此属于 0day 范畴，而且还是零点击的，因此使用该软件的用户需要做好防御。至于漏洞位于哪个组件、具体问题还需要等待 Telegram 修复后才会披露，估计还需要等待几周具体的漏洞细节才会公布。如何禁用自动下载功能：1. 打开 Telegram Desktop2. 转到设置、高级、自动下载媒体文件3. 分别将私聊、群组和频道中的自动下载关闭，包括图片和文件4. 全部关闭后保存即可以上安全漏洞仅在 Telegram 桌面版中存在，可以确认 Windows 版是存在的，macOS 版是否存在还不清楚，Telegram for Android/iOS 版不存在类似漏洞暂时不需要进行处理。 ... PC版： 手机版：

【慢讯】Telegram的RCE已修复

【慢讯】Telegram的RCE已修复 Telegram Desktop存储库的data_document_resolver.cpp文件源代码中对Python Zipapp的扩展名拼写错误造成了本次RCE，会让适用于Windows版本的Telegram Desktop绕过安全警告并自动执行扩展名为pyzw的Python文件，并伪装成视频文件来欺骗用户点击执行。如果用户的操作系统是Windows，并安装了Python，这会给攻击者执行远程代码一个可乘之机。 目前GitHub上的存储库已合并修复此安全漏洞的拉取请求，同时Telegram官方通过服务端对pyzw扩展名的强行添加untrusted后缀阻止Windows系统自动执行以策所有用户的安全。 POC: 消息来源： 投稿By:kishinsagi 管理员：为了安全，近期我们已完成查询墙国蛙蛤蛤旗下运营的三个群组的所有聊天记录和近2天的删除记录，没有迹象表明中共国安正在使用此手段针对用户进行钓鱼，目前管理员和小编无一人受此影响（但不排除针对其他用户进行私信钓鱼）。 #编程随想