【资讯】Telegram PC 桌面版高危漏洞,无需用户交互即可触发( 4.16.8 版已修复)

浏览: 212 次浏览 作者: 去年夏天 分类: 资讯,Windows 发布时间: 2024-04-09 14:36

Telegram PC 版近日被爆出存在一个高危安全漏洞,攻击者可以通过向用户发送含有攻击代码的特制文件,在用户启用媒体、文件自动下载的情况下,可在用户无感知、无操作的情况下进行感染。


Telegram 漏洞详情阐述

因为 Telegram 没发新版本,漏洞也没公开,具体细节未知。
估计需要等 Telegram 发新版本后,分析更新部分代码才能反推出漏洞机制。

目前了解到的是漏洞利用了 Telegram 会默认开启小体积媒体文件(动图,图片,视频)自动下载播放的机制,再配合 Win 系统 Telegram PC 桌面版软件运行的特性实现的,所以安卓和IOS系统上,特制文件即使被自动下载,也不会触发自动执行。

其实这种漏洞模式并不新鲜,任何会自动下载媒体并自动打开的软件,如果对所谓的“文件”没做好鉴权与防护,都有可能触发类似的漏洞。
看消息来源下的讨论,应该还是 webp 图片的 libwebp、libvpx 库漏洞,利用特殊构造的图片,可以在图片被解码打开时,触发缓冲区溢出,实现恶意代码执行。基本上浏览器,图片浏览器,文件浏览器,聊天工具等一切涉及打开 webp 图片的软件通通中招。

在 Telegram 目前没发新版本修复漏洞的当下,建议临时关闭Telegram PC 桌面版的自动下载功能,并且只手动下载执行(显示、播放)信任的媒体文件。

20240417更新:4.16.8 版 Telgram PC客户端修复了漏洞,新版本会按照文件自己声明的 mime 类型,强制按照其所声明的文件类型打开。低于此版本的请尽快升级到 4.16.8 及之后的版本。


Telegram 禁用自动下载功能:

  1. 打开 Telegram Desktop
  2. 依次点击:设置、高级、自动下载媒体
  3. 分别将私聊、群组、频道中的自动下载和自动播放全部关闭
  4. 最后保存即可

消息来源:HackYourMom.com(看起来是个乌克兰频道)

2 条评论

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据