Telegram Desktop版本远程代码执行漏洞已被确认

TelegramDesktop版本远程代码执行漏洞已被确认疑似攻击者通过伪造MIMEtype实现客户端欺骗，涉及Telegram中的两个API功能——`sendVideo`和`InputFile`。前置条件:TelegramDesktopWindows<＝v4.16.6+安装Python环境。`sendVideo`中的`video`字段支持两种输入方式，“InputFileorString”，问题出在InputFile-SendingbyURL时，目标资源可以拥有一个自定义的MIME标签，以指示其他Telegram客户端应该以什么方式加载这个资源。而这些被篡改且不怀好意的`.pyzw`文件，在这里都被指定为了`video/mp4`，导致其他Telegram客户端将以播放器模式展示这个文件。另外，TelegramDesktopGithub库下一条中提到一个Bug，能通过某种方式发送pyzw格文件，Telegram会将其识别为视频文件，实现伪装视频效果，TelegramDesktop的影片播放方式决定了TelegramDesktop将会把这些较小的视讯资源放置在本地下载目录，然后通过“执行”的方式来加载本地影片至内嵌播放器，这也就是为什么在用户点击这些“假影片”后会自动执行攻击者编写的代码。线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN

在Telegram中查看

相关推荐

再度反转：Telegram Desktop 版本远程代码执行漏洞被复现

再度反转：TelegramDesktop版本远程代码执行漏洞被复现该漏洞危害程度很高，建议用户根据文章建议关闭自动下载功能4月9日一条视频宣称TelegramDesktop客户端有漏洞，能轻松实现远程代码执行恶意攻击。当日，称无法确认Desktop版本远程代码执行漏洞。4月12日Rosmontis_Daily发现：TelegramDesktop库下一条PR中提到一个Bug，能通过某种方式发送pyzw格文件，Telegram会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。前置条件:TelegramDesktopWindows<＝v4.16.6+安装Python环境。出于安全考虑，请禁用自动下载功能。按照以下步骤操作：进入设置(Settings)——点击“高级(Advanced)”——在“自动下载媒体文件(AutomaticMediaDownload)”部分，禁用所有聊天类型“私聊(Privatechats)、群组(Groups)和频道(Channels)”中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察，不要随意点击附件。——

Telegram 称无法确认 Desktop 版本远程代码执行漏洞

Telegram称无法确认Desktop版本远程代码执行漏洞Telegram官方刚刚在社交平台X上发布消息表示，无法确认所谓的Desktop版本远程代码执行(RCE)漏洞。这很可能是一个骗局。并表示：“任何人都可以报告我们应用中的潜在漏洞并获得奖励。”之前有消息称Telegram出现高危远程代码执行漏洞，恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。——

警告TelegramDesktop版本远程代码执行漏洞已被确认危害程度极高，建议用户根据文章建议关闭自动下载功能▎情况介绍・4月

警告TelegramDesktop版本远程代码执行漏洞已被确认危害程度极高，建议用户根据文章建议关闭自动下载功能▎情况介绍・4月9日一条视频宣称TelegramDesktop客户端有漏洞，能轻松实现远程代码执行恶意攻击当日，Telegram称无法确认Desktop版本远程代码执行漏洞・4月12日笔者发现，TelegramDesktopGithub库下一条PR中提到一个Bug，能通过某种方式发送pywz格文件，Telegram会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。前置条件:TelegramDesktopWindows<＝v4.16.6+安装Python环境▎危害示例点击后会打开CMD，完全没有危害性，感兴趣可以点链接跳转测试范例。示例1/示例2（带封面时长文案）▎防范方法0.不安装Python1.出于安全考虑，请禁用自动下载功能。按照以下步骤操作：进入设置(Settings)——点击“高级(Advanced)”——在“自动下载媒体文件(AutomaticMediaDownload")”部分，禁用所有聊天类型（私聊(Privatechats)、群组(Groups)和频道(Channels)）中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载2.仔细观察，不要随意点击附件3.等待Telegram官方修复后，及时更新客户端至最新版本▎技术细节在这里！-转载请标明来源谢谢

Telegram Desktop 不再允许更改电话号码

TelegramDesktop不再允许更改电话号码Telegram用户不再可以在TelegramDesktop（和版）中更改自己账号的电话号码。TelegramInfo团队认为此限制可能是出于安全原因。我们提醒您，您仍然可以在Android或iOS版Telegram移动客户端中更改您的电话号码。请打开“设置”，然后单击带有电话号码的选项来完成操作。

Telegram称无法确认Desktop版本远程代码执行漏洞https://www.bannedbook.org/bnews/i

Telegram 官网及下载地址

Telegram官网及下载地址Telegram有官方版和第三方版本，但出于安全和隐私的考虑，推荐大家使用Telegram官方客户端。一，Telegram官网：[https://telegram.org]二，TelegramDesktop桌面客户端：Windows客户端[https://desktop.telegram.org/]macOS客户端[https://macos.telegram.org/]三，TelegramiOS苹果客户端：请自行在iPhone/iPad设备的应用商店AppStore搜索Telegram下载即可。注：从TelegramiOSv5.0版本开始，Telegram和TelegramX已经合并为一个项目，此后不再有iOS版本的TelelgramX。四，TelegramAndroid安卓客户端：GooglePlay下载[https://play.google.com/store/apps/details?id=org.telegram.messenger]直链下载[https://telegram.org/dl/android/apk]注：Android版本TelegramX先是由第三方开发，后被并入为官方版，这里不提供下载，需要可在GooglePlay自行下载。五，TelegramWeb网页客户端：[https://web.telegram.org]

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人