再度反转：Telegram Desktop 版本远程代码执行漏洞被复现

再度反转：TelegramDesktop版本远程代码执行漏洞被复现该漏洞危害程度很高，建议用户根据文章建议关闭自动下载功能4月9日一条视频宣称TelegramDesktop客户端有漏洞，能轻松实现远程代码执行恶意攻击。当日，称无法确认Desktop版本远程代码执行漏洞。4月12日Rosmontis_Daily发现：TelegramDesktop库下一条PR中提到一个Bug，能通过某种方式发送pyzw格文件，Telegram会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。前置条件:TelegramDesktopWindows<＝v4.16.6+安装Python环境。出于安全考虑，请禁用自动下载功能。按照以下步骤操作：进入设置(Settings)——点击“高级(Advanced)”——在“自动下载媒体文件(AutomaticMediaDownload)”部分，禁用所有聊天类型“私聊(Privatechats)、群组(Groups)和频道(Channels)”中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察，不要随意点击附件。——

Telegram Desktop版本远程代码执行漏洞已被确认

TelegramDesktop版本远程代码执行漏洞已被确认疑似攻击者通过伪造MIMEtype实现客户端欺骗，涉及Telegram中的两个API功能——`sendVideo`和`InputFile`。前置条件:TelegramDesktopWindows<＝v4.16.6+安装Python环境。`sendVideo`中的`video`字段支持两种输入方式，“InputFileorString”，问题出在InputFile-SendingbyURL时，目标资源可以拥有一个自定义的MIME标签，以指示其他Telegram客户端应该以什么方式加载这个资源。而这些被篡改且不怀好意的`.pyzw`文件，在这里都被指定为了`video/mp4`，导致其他Telegram客户端将以播放器模式展示这个文件。另外，TelegramDesktopGithub库下一条中提到一个Bug，能通过某种方式发送pyzw格文件，Telegram会将其识别为视频文件，实现伪装视频效果，TelegramDesktop的影片播放方式决定了TelegramDesktop将会把这些较小的视讯资源放置在本地下载目录，然后通过“执行”的方式来加载本地影片至内嵌播放器，这也就是为什么在用户点击这些“假影片”后会自动执行攻击者编写的代码。线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN

Telegram 称无法确认 Desktop 版本远程代码执行漏洞

Telegram称无法确认Desktop版本远程代码执行漏洞Telegram官方刚刚在社交平台X上发布消息表示，无法确认所谓的Desktop版本远程代码执行(RCE)漏洞。这很可能是一个骗局。并表示：“任何人都可以报告我们应用中的潜在漏洞并获得奖励。”之前有消息称Telegram出现高危远程代码执行漏洞，恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。——

全网首发，telegram 漏洞利用教程，100% 复现” ¿

“全网首发，telegram漏洞利用教程，100%复现”¿近期被各大频道转发的Telegram图片调用漏洞可能为假消息，编辑查阅了所谓源头的某英语频道，该频道未放出任何的相关文件或原理解释，多位网友索取原始样本，但是该频道管理只会含糊其辞的表示我们正在调查，在调查结束前不会放出任何文件同时我们尝试了部分网友所提供的GitHub链接，但是均和该问题无关，查阅相关讯息也无安全机构报道或提供脚本网络只有一个计算器被调用的视频成为了所谓漏洞的铁证本频道率先发出“全网首发，telegram漏洞利用教程，100%复现¿”