警告TelegramDesktop版本远程代码执行漏洞已被确认危害程度极高,建议用户根据文章建议关闭自动下载功能▎情况介绍・4月
警告TelegramDesktop版本远程代码执行漏洞已被确认危害程度极高,建议用户根据文章建议关闭自动下载功能▎情况介绍・4月9日一条视频宣称TelegramDesktop客户端有漏洞,能轻松实现远程代码执行恶意攻击当日,Telegram称无法确认Desktop版本远程代码执行漏洞・4月12日笔者发现,TelegramDesktopGithub库下一条PR中提到一个Bug,能通过某种方式发送pywz格文件,Telegram会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。前置条件:TelegramDesktopWindows<=v4.16.6+安装Python环境▎危害示例点击后会打开CMD,完全没有危害性,感兴趣可以点链接跳转测试范例。示例1/示例2(带封面时长文案)▎防范方法0.不安装Python1.出于安全考虑,请禁用自动下载功能。按照以下步骤操作:进入设置(Settings)——点击“高级(Advanced)”——在“自动下载媒体文件(AutomaticMediaDownload")”部分,禁用所有聊天类型(私聊(Privatechats)、群组(Groups)和频道(Channels))中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载2.仔细观察,不要随意点击附件3.等待Telegram官方修复后,及时更新客户端至最新版本▎技术细节在这里!-转载请标明来源谢谢
在Telegram中查看相关推荐
🔍 发送关键词来寻找群组、频道或视频。
启动SOSO机器人