TelegramMessengerWindows應(yīng)用程序源代碼中的一個簡單拼寫錯誤可讓攻擊者繞過安全警告。這使得在單擊偽裝成視頻的鏈接后能夠自動執(zhí)行Python腳本。

著名的即時通訊軟件Telegram的Windows應(yīng)用程序在其源代碼中包含一個文件擴展名列表，當單擊此類文件時，會發(fā)出安全警告。例如，這包括Windows可執(zhí)行文件，TelegramWindows應(yīng)用程序會針對這些文件發(fā)出以下警告“此文件的擴展名為.exe。它可能會損壞您的計算機。您確定要運行它嗎?

對于擴展名為.pyzw的Python編程語言中的可執(zhí)行腳本，也應(yīng)該出現(xiàn)這樣的對話。但是，輸入錯誤(“.pywz”而不是“.pyzw”)意味著Pythonzip存檔不會出現(xiàn)警告，但在單擊鏈接后會直接執(zhí)行代碼，前提是Windows系統(tǒng)上有可用的Python解釋器。例如，如果這樣的Python腳本現(xiàn)在使用文件類型“video/mp4”進行混淆，則可執(zhí)行文件將在TelegramMessenger中顯示為視頻。

服務(wù)器端解決方法已經(jīng)可用

Telegram的開發(fā)人員在給BleepingComputer的一份聲明中表示：“TelegramDesktop中存在一個問題，當用戶的計算機上安裝了Python解釋器時，用戶必須點擊惡意文件。與之前的報告相反，這這不是一個只能影響一小部分用戶的“零點擊”漏洞：不到0.01%的用戶安裝了Python并使用相應(yīng)版本的TelegramforDesktop”。

Telegram團隊已修復(fù)GitHub上源代碼中的拼寫錯誤，但尚未提供包含更正代碼的更新Windows應(yīng)用程序。不過，TelegramMessenger的開發(fā)人員還實現(xiàn)了服務(wù)器端修復(fù)，這意味著Python腳本存檔將不再直接在Windows上執(zhí)行，即使是在代碼中存在bug的舊版本中，但會顯示警告：與EXE文件。

　　免責聲明：本文由用戶上傳，與本網(wǎng)站立場無關(guān)。財經(jīng)信息僅供讀者參考，并不構(gòu)成投資建議。投資者據(jù)此操作，風險自擔。 如有侵權(quán)請聯(lián)系刪除！