Telegram Desktop版本远程代码执行漏洞已被确认
TelegramDesktop版本远程代码执行漏洞已被确认疑似攻击者通过伪造MIMEtype实现客户端欺骗,涉及Telegram中的两个API功能——`sendVideo`和`InputFile`。前置条件:TelegramDesktopWindows<=v4.16.6+安装Python环境。`sendVideo`中的`video`字段支持两种输入方式,“InputFileorString”,问题出在InputFile-SendingbyURL时,目标资源可以拥有一个自定义的MIME标签,以指示其他Telegram客户端应该以什么方式加载这个资源。而这些被篡改且不怀好意的`.pyzw`文件,在这里都被指定为了`video/mp4`,导致其他Telegram客户端将以播放器模式展示这个文件。另外,TelegramDesktopGithub库下一条中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,TelegramDesktop的影片播放方式决定了TelegramDesktop将会把这些较小的视讯资源放置在本地下载目录,然后通过“执行”的方式来加载本地影片至内嵌播放器,这也就是为什么在用户点击这些“假影片”后会自动执行攻击者编写的代码。线索:@ZaiHuabot投稿:@TNSubmbot频道:@TestFlightCN
