网传根据区块链安全公司CertiK发布的一份新报告,CertiK 发现Telegram桌面版的处理媒体文件过程,可能存在RCE漏洞。此漏洞会使用户面临特制媒体文件(例如图像或视频)的恶意攻击。
CertiK Alert 于 4 月 9 日在社交媒体平台 X 上警告公众注意“野外高风险漏洞”,可能允许黑客通过 Telegram 的媒体处理部署远程代码执行 (RCE) 攻击。
Telegram 回复为 Telegram 客户端无法确认存在 RCE 漏洞,而一些安全专家声称这是一个已知问题。
为避免此漏洞,用户应检查其 Telegram 桌面配置并禁用自动下载功能。可以通过转到“设置”,然后点击“高级”来禁用该功能(请禁用自动下载功能: 1、转到设置 2、点击“高级” 3、在“自动媒体下载”里,禁用所有聊天类型(私人聊天、群组和频道)中的“照片”、“视频”和“文件”的自动下载)。
题外话:
2021 年,Shielder 的一名安全研究人员在 Telegram 上发现了一个类似的媒体相关问题,据报道,该问题允许攻击者发送修改后的动画贴纸,这可能会暴露受害者的数据。