Telegram Desktop 媒体文件处理存在可用于恶意攻击的漏洞

TelegramDesktop媒体文件处理存在可用于恶意攻击的漏洞在TelegramDesktop的媒体处理中检测到可能存在的远程代码执行(RCE)漏洞。此问题使用户面临通过特别制作的媒体文件(如图片或视频)发起的恶意攻击的风险。出于安全考虑,请禁用自动下载功能。请按照以下步骤操作:1.进入设置(Settings)。2.点击“高级(Advanced)”。3.在“自动下载媒体文件(AutomaticMediaDownload")”部分,禁用所有聊天类型(私聊(Privatechats)、群组(Groups)和频道(Channels))中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。线索:@ZaiHuabot投稿:@TNSubmbot频道:@TestFlightCN

相关推荐

封面图片

再度反转:Telegram Desktop 版本远程代码执行漏洞被复现

再度反转:TelegramDesktop版本远程代码执行漏洞被复现该漏洞危害程度很高,建议用户根据文章建议关闭自动下载功能4月9日一条视频宣称TelegramDesktop客户端有漏洞,能轻松实现远程代码执行恶意攻击。当日,称无法确认Desktop版本远程代码执行漏洞。4月12日Rosmontis_Daily发现:TelegramDesktop库下一条PR中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。前置条件:TelegramDesktopWindows<=v4.16.6+安装Python环境。出于安全考虑,请禁用自动下载功能。按照以下步骤操作:进入设置(Settings)——点击“高级(Advanced)”——在“自动下载媒体文件(AutomaticMediaDownload)”部分,禁用所有聊天类型“私聊(Privatechats)、群组(Groups)和频道(Channels)”中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察,不要随意点击附件。——
封面图片

Telegram桌面版存在高危漏洞 用户需禁用媒体(图片/视频/文件)自动下载

Telegram桌面版存在高危漏洞用户需禁用媒体(图片/视频/文件)自动下载目前该漏洞尚未披露并且Telegram也没有发布新版本进行修复,因此属于0day范畴,而且还是零点击的,因此使用该软件的用户需要做好防御。至于漏洞位于哪个组件、具体问题还需要等待Telegram修复后才会披露,估计还需要等待几周具体的漏洞细节才会公布。如何禁用自动下载功能:1.打开TelegramDesktop2.转到设置、高级、自动下载媒体文件3.分别将私聊、群组和频道中的自动下载关闭,包括图片和文件4.全部关闭后保存即可以上安全漏洞仅在Telegram桌面版中存在,可以确认Windows版是存在的,macOS版是否存在还不清楚,TelegramforAndroid/iOS版不存在类似漏洞暂时不需要进行处理。...PC版:https://www.cnbeta.com.tw/articles/soft/1426728.htm手机版:https://m.cnbeta.com.tw/view/1426728.htm
封面图片

Telegram表示无法确认TelegramDesktop媒体文件处理存在可用于恶意攻击的漏洞线索:@ZaiHuabot投稿:@
封面图片

安全警报

安全警报在TelegramDesktop应用程序的媒体处理中检测到可能存在的。此问题会导致用户受到通过特制媒体文件(如图片或视频)进行的恶意攻击。出于安全原因的考量,请禁用自动下载功能。请按照以下步骤操作:1.进入Settings(设置)。2.点击Advanced(高级)。3.在AutomaticMediaDownload(自动下载媒体文件)设置中,禁用Privatechats(私信)、Groups(群组)和Channels(频道)中的Photos(照片)、Videos(视频)和Files(文件)的自动下载。消息来源#编程随想
封面图片

Telegram 称无法确认 Desktop 版本远程代码执行漏洞

Telegram称无法确认Desktop版本远程代码执行漏洞Telegram官方刚刚在社交平台X上发布消息表示,无法确认所谓的Desktop版本远程代码执行(RCE)漏洞。这很可能是一个骗局。并表示:“任何人都可以报告我们应用中的潜在漏洞并获得奖励。”之前有消息称Telegram出现高危远程代码执行漏洞,恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。——
封面图片

警告TelegramDesktop版本远程代码执行漏洞已被确认危害程度极高,建议用户根据文章建议关闭自动下载功能▎情况介绍・4月

警告TelegramDesktop版本远程代码执行漏洞已被确认危害程度极高,建议用户根据文章建议关闭自动下载功能▎情况介绍・4月9日一条视频宣称TelegramDesktop客户端有漏洞,能轻松实现远程代码执行恶意攻击当日,Telegram称无法确认Desktop版本远程代码执行漏洞・4月12日笔者发现,TelegramDesktopGithub库下一条PR中提到一个Bug,能通过某种方式发送pywz格文件,Telegram会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。前置条件:TelegramDesktopWindows<=v4.16.6+安装Python环境▎危害示例点击后会打开CMD,完全没有危害性,感兴趣可以点链接跳转测试范例。示例1/示例2(带封面时长文案)▎防范方法0.不安装Python1.出于安全考虑,请禁用自动下载功能。按照以下步骤操作:进入设置(Settings)——点击“高级(Advanced)”——在“自动下载媒体文件(AutomaticMediaDownload")”部分,禁用所有聊天类型(私聊(Privatechats)、群组(Groups)和频道(Channels))中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载2.仔细观察,不要随意点击附件3.等待Telegram官方修复后,及时更新客户端至最新版本▎技术细节在这里!-转载请标明来源谢谢

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人