Telegram 称无法确认 Desktop 版本远程代码执行漏洞

Telegram 称无法确认 Desktop 版本远程代码执行漏洞 Telegram 官方刚刚在社交平台 X 上发布消息表示，无法确认所谓的 Desktop 版本远程代码执行 (RCE) 漏洞。该视频很可能是一个骗局。并表示：“任何人都可以报告我们应用中的潜在漏洞并获得奖励。” 之前有消息报告称 Telegram 出现高危远程代码执行漏洞，恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。

Telegram 称无法确认 Desktop 版本远程代码执行漏洞

Telegram 称无法确认 Desktop 版本远程代码执行漏洞 Telegram 官方刚刚在社交平台 X 上发布消息表示，无法确认所谓的 Desktop 版本远程代码执行 (RCE) 漏洞。这很可能是一个骗局。并表示：“任何人都可以报告我们应用中的潜在漏洞并获得奖励。”之前有消息称 Telegram 出现高危远程代码执行漏洞，恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。

Telegram桌面版存在高危漏洞 用户需禁用媒体(图片/视频/文件)自动下载

Telegram桌面版存在高危漏洞 用户需禁用媒体(图片/视频/文件)自动下载 目前该漏洞尚未披露并且 Telegram 也没有发布新版本进行修复，因此属于 0day 范畴，而且还是零点击的，因此使用该软件的用户需要做好防御。至于漏洞位于哪个组件、具体问题还需要等待 Telegram 修复后才会披露，估计还需要等待几周具体的漏洞细节才会公布。如何禁用自动下载功能：1. 打开 Telegram Desktop2. 转到设置、高级、自动下载媒体文件3. 分别将私聊、群组和频道中的自动下载关闭，包括图片和文件4. 全部关闭后保存即可以上安全漏洞仅在 Telegram 桌面版中存在，可以确认 Windows 版是存在的，macOS 版是否存在还不清楚，Telegram for Android/iOS 版不存在类似漏洞暂时不需要进行处理。 ... PC版： 手机版：

@onlychigua 再度反转，漏洞真实存在！

@onlychigua 再度反转，漏洞真实存在！ Telegram 官方一个拼写错误，导致的另一个文件格式绕过执行漏洞。 疑似攻击者通过伪造MIME type实现客户端欺骗，涉及Telegram中的两个API功能`sendVideo`和`InputFile`。前置条件: Telegram Desktop Windows <＝v4.16.6 + 安装Python环境。

安全警报 在Telegram Desktop应用程序的媒体处理中检测到可能存在的。

安全警报 在Telegram Desktop应用程序的媒体处理中检测到可能存在的。 此问题会导致用户受到通过特制媒体文件（如图片或视频）进行的恶意攻击。 出于安全原因的考量，请禁用自动下载功能。 请按照以下步骤操作： 1. 进入Settings（设置）。 2. 点击Advanced（高级）。 3. 在Automatic Media Download（自动下载媒体文件）设置中，禁用Private chats（私信）、Groups（群组）和Channels（频道）中的Photos（照片）、Videos（视频）和Files（文件）的自动下载。 消息来源