再度反转:Telegram Desktop 版本远程代码执行漏洞被复现
该漏洞危害程度很高,建议用户根据文章建议关闭自动下载功能
4月9日一条视频宣称 Telegram Desktop 客户端有漏洞,能轻松实现远程代码执行恶意攻击。当日, Telegram 称无法确认 Desktop 版本远程代码执行漏洞。
4月12日 Rosmontis_Daily 发现:
Telegram Desktop Github 库下一条PR中提到一个 Bug,能通过某种方式发送 pyzw 格文件,Telegram 会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。前置条件: Telegram Desktop Windows <=v4.16.6 + 安装Python环境。
出于安全考虑,请禁用自动下载功能。 按照以下步骤操作:
进入设置(Settings) —— 点击“高级(Advanced)” —— 在“自动下载媒体文件(Automatic Media Download)”部分,禁用所有聊天类型“私聊(Private chats)、群组(Groups)和频道(Channels)”中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察,不要随意点击附件。
—— Rosmontis_Daily