Telegram桌面版存在高危漏洞 用户需禁用媒体(图片/视频/文件)自动下载

Telegram桌面版存在高危漏洞用户需禁用媒体(图片/视频/文件)自动下载目前该漏洞尚未披露并且Telegram也没有发布新版本进行修复，因此属于0day范畴，而且还是零点击的，因此使用该软件的用户需要做好防御。至于漏洞位于哪个组件、具体问题还需要等待Telegram修复后才会披露，估计还需要等待几周具体的漏洞细节才会公布。如何禁用自动下载功能：1.打开TelegramDesktop2.转到设置、高级、自动下载媒体文件3.分别将私聊、群组和频道中的自动下载关闭，包括图片和文件4.全部关闭后保存即可以上安全漏洞仅在Telegram桌面版中存在，可以确认Windows版是存在的，macOS版是否存在还不清楚，TelegramforAndroid/iOS版不存在类似漏洞暂时不需要进行处理。...PC版：https://www.cnbeta.com.tw/articles/soft/1426728.htm手机版：https://m.cnbeta.com.tw/view/1426728.htm

全网首发，telegram 漏洞利用教程，100% 复现” ¿

“全网首发，telegram漏洞利用教程，100%复现”¿近期被各大频道转发的Telegram图片调用漏洞可能为假消息，编辑查阅了所谓源头的某英语频道，该频道未放出任何的相关文件或原理解释，多位网友索取原始样本，但是该频道管理只会含糊其辞的表示我们正在调查，在调查结束前不会放出任何文件同时我们尝试了部分网友所提供的GitHub链接，但是均和该问题无关，查阅相关讯息也无安全机构报道或提供脚本网络只有一个计算器被调用的视频成为了所谓漏洞的铁证本频道率先发出“全网首发，telegram漏洞利用教程，100%复现¿”

再度反转：Telegram Desktop 版本远程代码执行漏洞被复现

再度反转：TelegramDesktop版本远程代码执行漏洞被复现该漏洞危害程度很高，建议用户根据文章建议关闭自动下载功能4月9日一条视频宣称TelegramDesktop客户端有漏洞，能轻松实现远程代码执行恶意攻击。当日，称无法确认Desktop版本远程代码执行漏洞。4月12日Rosmontis_Daily发现：TelegramDesktop库下一条PR中提到一个Bug，能通过某种方式发送pyzw格文件，Telegram会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。前置条件:TelegramDesktopWindows<＝v4.16.6+安装Python环境。出于安全考虑，请禁用自动下载功能。按照以下步骤操作：进入设置(Settings)——点击“高级(Advanced)”——在“自动下载媒体文件(AutomaticMediaDownload)”部分，禁用所有聊天类型“私聊(Privatechats)、群组(Groups)和频道(Channels)”中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察，不要随意点击附件。——