4月12日，CertiK对于该漏洞的再次确认

此次发现的漏洞仅限于Windows系统中的桌面应用，这些应用可以执行文件中包含的程序；移动端的App不受此次漏洞影响。

该漏洞具体涉及Telegram的“自动下载媒体”功能，当用户浏览对话记录时，该功能会自动下载媒体文件。而黑客可以通过发送包含恶意代码的“特制图片或视频文件”，来利用这一漏洞执行远程代码。这一安全漏洞的存在使Telegram用户面临潜在的恶意攻击风险。4月12日，CertiK也针对此漏洞进行了一次远程代码执行（RCE）攻击的复现，于Telegram桌面客户端（版本号4.16.6 x64）中，再次确认了该漏洞下的安全隐患确实存在。

Telegram Windows客户端文件扩展名上的拼写错误

为了防范潜在的安全威胁，CertiK当时建议所有Telegram桌面客户端用户及时更新其客户端，以避免受到此类攻击的影响。同时，也应提高对于自动下载的文件的警觉性，尤其是来自不信任源的文件。

出于风险预防，CertiK还建议用户禁用自动下载功能，以防止未知的风险，具体操作如下：进入设置，点击“高级”，在“自动媒体下载”部分，禁用所有聊天类型中的“照片”、“视频”和“文件”的自动下载功能。

此次漏洞事件中，CertiK的及时警报和安全建议得到了许多社区用户的感谢和称赞，并通过社交媒体表达了对Certik团队的赞许和支持。

CertiK深知保障Web3.0的安全性不仅是一项技术挑战，也是一项社会责任。CertiK还将持续致力于守护Web3.0世界，促进其健康、可持续发展。

尽管只有桌面客户端受到了这一漏洞的影响，但这一发现无疑提醒所有用户必须对潜在的安全风险保持高度警惕。在此次事件中，更新软件和慎重处理自动下载的内容是安全防护的关键。用户的警惕性以及正确的安全习惯能够大幅降低成为黑客攻击目标的风险。安全措施不应被视作一个可选项，而是每个人必须采取的必要措施。

原文始发于微信公众号（CertiK）：安全回顾 | Telegram漏洞，如何应对潜在的安全风险