Telegram官方否认桌面端存在命令执行漏洞

Telegram官方否认桌面端存在命令执行漏洞

​

近日，流传出一段数秒的视频，显示点击一张Telegram桌面端的图片后，会造成命令执行。命令执行是一种非常严重的漏洞，此视频一经发出，立马引起轩然大波，在整个tg圈子里闹得满城风雨，且越传越离谱，从开始的疑似存在漏洞，到存在漏洞，再到已确认存在漏洞且有人拿到了exp。

我们第一时间查询了托管在Github的桌面端相关功能点的源码，经过仔细研读后，并未发现有疑似漏洞的地方。终于，今天Telegram出面回应，也是说并没有发现有漏洞点。事情到此可以说是告一段落。不知道有没有人还记得几年前，有人在推特上声称通过漏洞获取了telegram的所有用户注册信息，并要在之后的一个月把数据全部公开出来，当时也是闹得人心惶惶，最后也是官方出来辟谣，才结束了闹剧。

telegram本来就是一个三不管地带，除了telegram官方外无任何权威机构。结果就是小事官方不管，大事也要过段时间才出面回应。请不信谣，不传谣，自己该干啥就干啥，谣言止于智者。

2024-04-12 更新
似乎存在一个bug, 发送pywz格文件时，Telegram会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后如点击执行，则会执行该脚本，前提是安装了python环境，否则无效。目前最新版已修复。

#辟谣

原文始发于微信公众号（小明今天拿站了吗）：Telegram官方否认桌面端存在命令执行漏洞