学习墙国🐸大躺平运动Telegram官方驳斥这一传闻,称这是恶作剧,并声明报告Telegram应用潜在的安全漏洞可获得赏金
【慢讯】Telegram的RCE已修复
Telegram Desktop存储库的data_document_resolver.cpp文件源代码中对Python Zipapp的扩展名拼写错误造成了本次RCE,会让适用于Windows版本的Telegram Desktop绕过安全警告并自动执行扩展名为pyzw的Python文件,并伪装成视频文件来欺骗用户点击执行。如果用户的操作系统是Windows,并安装了Python,这会给攻击者执行远程代码一个可乘之机。
目前GitHub上的存储库已合并修复此安全漏洞的拉取请求,同时Telegram官方通过服务端对pyzw扩展名的强行添加untrusted后缀阻止Windows系统自动执行以策所有用户的安全。
POC: https://vimeo.com/932147196
消息来源:Bleeping Computer
投稿By:kishinsagi
管理员:为了安全,近期我们已完成查询墙国蛙蛤蛤🐸旗下运营的三个群组的所有聊天记录和近2天的删除记录,没有迹象表明中共国安正在使用此手段针对用户进行钓鱼,目前管理员和小编无一人受此影响(但不排除针对其他用户进行私信钓鱼)。
#编程随想
Telegram Desktop存储库的data_document_resolver.cpp文件源代码中对Python Zipapp的扩展名拼写错误造成了本次RCE,会让适用于Windows版本的Telegram Desktop绕过安全警告并自动执行扩展名为pyzw的Python文件,并伪装成视频文件来欺骗用户点击执行。如果用户的操作系统是Windows,并安装了Python,这会给攻击者执行远程代码一个可乘之机。
目前GitHub上的存储库已合并修复此安全漏洞的拉取请求,同时Telegram官方通过服务端对pyzw扩展名的强行添加untrusted后缀阻止Windows系统自动执行以策所有用户的安全。
POC: https://vimeo.com/932147196
消息来源:Bleeping Computer
投稿By:kishinsagi
管理员:为了安全,近期我们已完成查询墙国蛙蛤蛤🐸旗下运营的三个群组的所有聊天记录和近2天的删除记录,没有迹象表明中共国安正在使用此手段针对用户进行钓鱼,目前管理员和小编无一人受此影响(但不排除针对其他用户进行私信钓鱼)。
#编程随想
