Telegram Desktop 媒体文件处理存在可用于恶意攻击的漏洞

TelegramDesktop媒体文件处理存在可用于恶意攻击的漏洞在TelegramDesktop的媒体处理中检测到可能存在的远程代码执行（RCE）漏洞。此问题使用户面临通过特别制作的媒体文件（如图片或视频）发起的恶意攻击的风险。出于安全考虑，请禁用自动下载功能。请按照以下步骤操作：1.进入设置(Settings)。2.点击“高级(Advanced)”。3.在“自动下载媒体文件(AutomaticMediaDownload")”部分，禁用所有聊天类型（私聊(Privatechats)、群组(Groups)和频道(Channels)）中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。线索：@ZaiHuabot投稿：@TNSubmbot频道：@TestFlightCN

再度反转：Telegram Desktop 版本远程代码执行漏洞被复现

再度反转：TelegramDesktop版本远程代码执行漏洞被复现该漏洞危害程度很高，建议用户根据文章建议关闭自动下载功能4月9日一条视频宣称TelegramDesktop客户端有漏洞，能轻松实现远程代码执行恶意攻击。当日，称无法确认Desktop版本远程代码执行漏洞。4月12日Rosmontis_Daily发现：TelegramDesktop库下一条PR中提到一个Bug，能通过某种方式发送pyzw格文件，Telegram会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。前置条件:TelegramDesktopWindows<＝v4.16.6+安装Python环境。出于安全考虑，请禁用自动下载功能。按照以下步骤操作：进入设置(Settings)——点击“高级(Advanced)”——在“自动下载媒体文件(AutomaticMediaDownload)”部分，禁用所有聊天类型“私聊(Privatechats)、群组(Groups)和频道(Channels)”中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察，不要随意点击附件。——

警告TelegramDesktop版本远程代码执行漏洞已被确认危害程度极高，建议用户根据文章建议关闭自动下载功能▎情况介绍・4月

警告TelegramDesktop版本远程代码执行漏洞已被确认危害程度极高，建议用户根据文章建议关闭自动下载功能▎情况介绍・4月9日一条视频宣称TelegramDesktop客户端有漏洞，能轻松实现远程代码执行恶意攻击当日，Telegram称无法确认Desktop版本远程代码执行漏洞・4月12日笔者发现，TelegramDesktopGithub库下一条PR中提到一个Bug，能通过某种方式发送pywz格文件，Telegram会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。前置条件:TelegramDesktopWindows<＝v4.16.6+安装Python环境▎危害示例点击后会打开CMD，完全没有危害性，感兴趣可以点链接跳转测试范例。示例1/示例2（带封面时长文案）▎防范方法0.不安装Python1.出于安全考虑，请禁用自动下载功能。按照以下步骤操作：进入设置(Settings)——点击“高级(Advanced)”——在“自动下载媒体文件(AutomaticMediaDownload")”部分，禁用所有聊天类型（私聊(Privatechats)、群组(Groups)和频道(Channels)）中“照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载2.仔细观察，不要随意点击附件3.等待Telegram官方修复后，及时更新客户端至最新版本▎技术细节在这里！-转载请标明来源谢谢

Telegram桌面版存在高危漏洞 用户需禁用媒体(图片/视频/文件)自动下载

Telegram桌面版存在高危漏洞用户需禁用媒体(图片/视频/文件)自动下载目前该漏洞尚未披露并且Telegram也没有发布新版本进行修复，因此属于0day范畴，而且还是零点击的，因此使用该软件的用户需要做好防御。至于漏洞位于哪个组件、具体问题还需要等待Telegram修复后才会披露，估计还需要等待几周具体的漏洞细节才会公布。如何禁用自动下载功能：1.打开TelegramDesktop2.转到设置、高级、自动下载媒体文件3.分别将私聊、群组和频道中的自动下载关闭，包括图片和文件4.全部关闭后保存即可以上安全漏洞仅在Telegram桌面版中存在，可以确认Windows版是存在的，macOS版是否存在还不清楚，TelegramforAndroid/iOS版不存在类似漏洞暂时不需要进行处理。...PC版：https://www.cnbeta.com.tw/articles/soft/1426728.htm手机版：https://m.cnbeta.com.tw/view/1426728.htm

关于 Telegram 缓存和自动下载的说明

关于Telegram缓存和自动下载的说明Telegram客户端在使用过程中会自动下载媒体(图片/视频/音频/文件)缓存在设备上，就会大量的占用设备存储空间可以在设置中手动和自动清理这部分缓存，但依然有小部分运行App必须用到的数据是不能清理的；清理缓存并不是删除媒体，这些媒体会保留在Telegram云端，需要的时候可以再次下载使用Telegram的消息是全平台全客户端自动同步的(除了加密对话)，清理缓存并不会删除消息，删除消息也不是清理缓存的办法清理缓存方法*iOS/macOS/Android客户端：设置→数据→存储使用→清理缓存，这儿可以把"媒体文件保留时间"设置短一点，Telegram就会自动清理(3天/1周/1月)之前的缓存，如果选择"永远"就不会自动清理；这儿也设置"最大缓存大小"*Windows/macOS/LinuxDesktop客户端：左上角三短线→设置→高级→缓存管理→清理缓存，这儿可以设置缓存总大小的限制自动下载设置*iOS/macOS/Android客户端：设置→数据→自动下载媒体*Windows/macOS/LinuxDesktop客户端：左上角三短线→设置→高级→自动下载媒体可以关闭自动下载或把自动下载的大小限制小一点，关闭自动下载后，手动在对话中点击了媒体也会缓存在设备上

#GitHub#Telegram#解析TelegramMediaDownloader-电报媒体下载器▎项目功能：电报媒体下载▎项

#GitHub#Telegram#解析TelegramMediaDownloader-电报媒体下载器▎项目功能：电报媒体下载▎项目介绍：一个用来下载Telegram群组或频道中的媒体文件的工具。它支持从指定的聊天记录中自动下载音频、照片、视频、文档、语音等多种类型的媒体文件。支持两种默认运行，机器人运行，从机器人下发命令下载或者转发，还可以作为一个一次性的下载工具下载，支持下载已经加入的私有群但是限制下载的资源，支持Docker部署。▎相关推荐：⏺TelegramMediaDownloader-电报媒体下载脚本▎项目地址：点击打开