再度反转:Telegram Desktop 版本远程代码执行漏洞被复现
再度反转:TelegramDesktop版本远程代码执行漏洞被复现该漏洞危害程度很高,建议用户根据文章建议关闭自动下载功能4月9日一条视频宣称TelegramDesktop客户端有漏洞,能轻松实现远程代码执行恶意攻击。当日,称无法确认Desktop版本远程代码执行漏洞。4月12日Rosmontis_Daily发现:TelegramDesktop库下一条PR中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。前置条件:TelegramDesktopWindows<=v4.16.6+安装Python环境。出于安全考虑,请禁用自动下载功能。按照以下步骤操作:进入设置(Settings)——点击“高级(Advanced)”——在“自动下载媒体文件(AutomaticMediaDownload)”部分,禁用所有聊天类型“私聊(Privatechats)、群组(Groups)和频道(Channels)”中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察,不要随意点击附件。——