Telegram称无法确认Desktop版本远程代码执行漏洞https://www.bannedbook.org/bnews/i

None

相关推荐

封面图片

Telegram 称无法确认 Desktop 版本远程代码执行漏洞

Telegram称无法确认Desktop版本远程代码执行漏洞Telegram官方刚刚在社交平台X上发布消息表示,无法确认所谓的Desktop版本远程代码执行(RCE)漏洞。这很可能是一个骗局。并表示:“任何人都可以报告我们应用中的潜在漏洞并获得奖励。”之前有消息称Telegram出现高危远程代码执行漏洞,恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。——

封面图片

Telegram Desktop版本远程代码执行漏洞已被确认

TelegramDesktop版本远程代码执行漏洞已被确认疑似攻击者通过伪造MIMEtype实现客户端欺骗,涉及Telegram中的两个API功能——`sendVideo`和`InputFile`。前置条件:TelegramDesktopWindows<=v4.16.6+安装Python环境。`sendVideo`中的`video`字段支持两种输入方式,“InputFileorString”,问题出在InputFile-SendingbyURL时,目标资源可以拥有一个自定义的MIME标签,以指示其他Telegram客户端应该以什么方式加载这个资源。而这些被篡改且不怀好意的`.pyzw`文件,在这里都被指定为了`video/mp4`,导致其他Telegram客户端将以播放器模式展示这个文件。另外,TelegramDesktopGithub库下一条中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,TelegramDesktop的影片播放方式决定了TelegramDesktop将会把这些较小的视讯资源放置在本地下载目录,然后通过“执行”的方式来加载本地影片至内嵌播放器,这也就是为什么在用户点击这些“假影片”后会自动执行攻击者编写的代码。线索:@ZaiHuabot投稿:@TNSubmbot频道:@TestFlightCN

封面图片

再度反转:Telegram Desktop 版本远程代码执行漏洞被复现

再度反转:TelegramDesktop版本远程代码执行漏洞被复现该漏洞危害程度很高,建议用户根据文章建议关闭自动下载功能4月9日一条视频宣称TelegramDesktop客户端有漏洞,能轻松实现远程代码执行恶意攻击。当日,称无法确认Desktop版本远程代码执行漏洞。4月12日Rosmontis_Daily发现:TelegramDesktop库下一条PR中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。前置条件:TelegramDesktopWindows<=v4.16.6+安装Python环境。出于安全考虑,请禁用自动下载功能。按照以下步骤操作:进入设置(Settings)——点击“高级(Advanced)”——在“自动下载媒体文件(AutomaticMediaDownload)”部分,禁用所有聊天类型“私聊(Privatechats)、群组(Groups)和频道(Channels)”中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察,不要随意点击附件。——

封面图片

Telegram官方在社交平台X上发布消息称,无法复现所谓的Desktop版本远程代码执行(RCE)漏洞。这很可能是一个骗局。并

封面图片

OpenWRT 曝远程代码执行漏洞

OpenWRT曝远程代码执行漏洞https://www.solidot.org/story?sid=63387「路由器发行版OpenWrt一个远程代码执行漏洞,OpenWrtopkg包中的一个bug会导致包管理器忽略库索引嵌入的SHA-256校验和,事实上绕过了下载.ipk文件的完整性检查。由于opkg包以root权限运行,对整个文件系统具有读访问权限,意味着.ipk包嵌入的恶意负荷能执行任意代码。开发者已经释出了新版本修复了漏洞。」

封面图片

WPS Office 存在远程代码执行漏洞

WPSOffice存在远程代码执行漏洞WPS近日发布安全通告,确认WPSOffice存在代码执行漏洞,建议用户更新到最新版本。WPS官方称,攻击者利用本漏洞专门构造出恶意文档,受害者打开该文档并执行相应操作后,才会联网从远程服务器下载恶意代码到指定目录并执行,前提是系统当前用户对该目录具备写权限,攻击者进而控制其电脑。影响范围•WPSOffice个人版,Windows平台,版本号低于12.1.0.15120(含)•WPSOffice机构版本(如专业版、专业增强版),Windows平台,版本号低于11.8.2.12055(含)——

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人