【资讯】Telegram PC 桌面版高危漏洞，无需用户交互即可触发（ 4.16.8 版已修复）

Telegram PC 版近日被爆出存在一个高危安全漏洞，攻击者可以通过向用户发送含有攻击代码的特制文件，在用户启用媒体、文件自动下载的情况下，可在用户无感知、无操作的情况下进行感染。

Telegram 漏洞详情阐述

因为 Telegram 没发新版本，漏洞也没公开，具体细节未知。
估计需要等 Telegram 发新版本后，分析更新部分代码才能反推出漏洞机制。

目前了解到的是漏洞利用了 Telegram 会默认开启小体积媒体文件（动图，图片，视频）自动下载播放的机制，再配合 Win 系统 Telegram PC 桌面版软件运行的特性实现的，所以安卓和IOS系统上，特制文件即使被自动下载，也不会触发自动执行。

其实这种漏洞模式并不新鲜，任何会自动下载媒体并自动打开的软件，如果对所谓的“文件”没做好鉴权与防护，都有可能触发类似的漏洞。
看消息来源下的讨论，应该还是 webp 图片的 libwebp、libvpx 库漏洞，利用特殊构造的图片，可以在图片被解码打开时，触发缓冲区溢出，实现恶意代码执行。基本上浏览器，图片浏览器，文件浏览器，聊天工具等一切涉及打开 webp 图片的软件通通中招。

在 Telegram 目前没发新版本修复漏洞的当下，建议临时关闭Telegram PC 桌面版的自动下载功能，并且只手动下载执行（显示、播放）信任的媒体文件。

20240417更新：4.16.8 版 Telgram PC客户端修复了漏洞，新版本会按照文件自己声明的 mime 类型，强制按照其所声明的文件类型打开。低于此版本的请尽快升级到 4.16.8 及之后的版本。

Telegram 禁用自动下载功能：

1. 打开 Telegram Desktop
2. 依次点击：设置、高级、自动下载媒体
   
3. 分别将私聊、群组、频道中的自动下载和自动播放全部关闭
   
4. 最后保存即可

消息来源：HackYourMom.com（看起来是个乌克兰频道）