TelegramMessenger的Windows应用程序存在安全漏洞允许点击视频后执行代码
TelegramMessengerWindows应用程序源代码中的一个简单拼写错误可让攻击者绕过安全警告。这使得在单击伪装成视频的链接后能够自动执行Python脚本。
著名的即时通讯软件Telegram的Windows应用程序在其源代码中包含一个文件扩展名列表,当单击此类文件时,会发出安全警告。例如,这包括Windows可执行文件,TelegramWindows应用程序会针对这些文件发出以下警告“此文件的扩展名为.exe。它可能会损坏您的计算机。您确定要运行它吗?
对于扩展名为.pyzw的Python编程语言中的可执行脚本,也应该出现这样的对话。但是,输入错误(“.pywz”而不是“.pyzw”)意味着Pythonzip存档不会出现警告,但在单击链接后会直接执行代码,前提是Windows系统上有可用的Python解释器。例如,如果这样的Python脚本现在使用文件类型“video/mp4”进行混淆,则可执行文件将在TelegramMessenger中显示为视频。
服务器端解决方法已经可用
Telegram的开发人员在给BleepingComputer的一份声明中表示:“TelegramDesktop中存在一个问题,当用户的计算机上安装了Python解释器时,用户必须点击恶意文件。与之前的报告相反,这这不是一个只能影响一小部分用户的“零点击”漏洞:不到0.01%的用户安装了Python并使用相应版本的TelegramforDesktop”。
Telegram团队已修复GitHub上源代码中的拼写错误,但尚未提供包含更正代码的更新Windows应用程序。不过,TelegramMessenger的开发人员还实现了服务器端修复,这意味着Python脚本存档将不再直接在Windows上执行,即使是在代码中存在bug的旧版本中,但会显示警告:与EXE文件。
标签: