Telegram Messenger 的 Windows 应用程序中的安全漏洞允许在点击视频后执行代码

著名的信使Telegram的Windows应用程序在其源代码中包含文件扩展名列表，单击此类文件时会发出安全警告。例如，这包括 Windows 可执行文件，Telegram Windows 应用程序会发出以下警告“此文件的扩展名为 .exe。它可能会损坏您的计算机。您确定要运行它吗？

对于扩展名为 .pyzw 的 Python 编程语言中的可执行脚本，也应出现此类对话框。但是，键入错误（“.pywz”而不是“.pyzw”）意味着 Python zip 存档没有出现警告，但代码在单击链接后直接执行，前提是 Python 解释器在 Windows 系统上可用。例如，如果这样的 Python 脚本现在使用文件类型“video/mp4”进行混淆，则可执行文件将在 Telegram Messenger 中显示为视频。

服务器端解决方法已可用

Telegram的开发人员在给Bleeping Computer的一份声明中说：“有[...]Telegram Desktop 中的一个问题，用户在其计算机上安装 Python 解释器时必须单击恶意文件。与之前的报道相反，这不是一个“零点击”漏洞，只能影响我们一小部分用户：只有不到 0.01% 的用户安装了 Python 并使用相应版本的 Telegram for Desktop“。

GitHub 源代码中的拼写错误已被 Telegram 团队修复，但尚未提供具有更正代码的更新 Windows 应用程序。但是，Telegram messenger的开发人员还实施了服务器端修复程序，这意味着Python脚本存档将不再直接在Windows上执行，即使在代码中存在错误的旧版本中也是如此，但会像EXE文件一样显示警告。

来源：IT时代网

IT时代网(关注微信公众号ITtime2000，定时推送，互动有福利惊喜)所有原创文章版权所有，未经授权，转载必究。
创客100创投基金成立于2015年，直通硅谷，专注于TMT领域早期项目投资。LP均来自政府、互联网IT、传媒知名企业和个人。创客100创投基金对IT、通信、互联网、IP等有着自己独特眼光和丰富的资源。决策快、投资快是创客100基金最显著的特点。

相关文章

Telegram Messenger 的 Windows 应用程序中的安全漏洞允许在点击视频后执行代码