区块链安全公司 CertiK 发布了一份新报告，显示 Telegram Messenger 上存在一个新漏洞，该漏洞使用户面临恶意攻击。该安全公司在其关于 X 的帖子中提到，黑客可以利用该漏洞通过 Telegram 的媒体处理部署远程代码执行 (RCE) 攻击。

CertiK 详细介绍了 Telegram 桌面应用程序的漏洞

该帖子澄清说，黑客可以利用 Telegram 桌面应用程序上的媒体处理功能，从而部署 RCE 攻击。CertiK 指出，用户可能会通过特制的媒体文件遭受这些恶意攻击。CertiK 表示：“此问题使用户通过特制的媒体文件（例如图像或视频）遭受恶意攻击。”

#CertiKInsight ⚠️我们发现一个高危漏洞，请检查您的电报配置以提高安全性！👇👇👇👇👇在 Telegram 桌面应用程序中的 Telegram 媒体处理中检测到可能的 RCE。此问题通过以下方式将用户暴露给恶意攻击……

— CertiK Alert (@CertiKAlert) 2024 年 4 月 9 日

CertiK 发言人表示，该漏洞仅限于桌面应用程序。他指出，与需要签名的桌面应用程序不同，移动应用程序不会直接执行可执行程序。发言人还指出，是安全社区发现了这个问题。为了避免该漏洞，CertiK 敦促用户在 Telegram 应用程序的桌面配置中禁用自动下载功能。

用户可以通过点击“设置”然后选择“高级”来禁用自动下载功能。自动媒体下载选项弹出后，他们可以在所有媒体文件上切换禁用按钮。

应对措施和解决脆弱性

Telegram 是一款自推出以来就大获成功的即时通讯应用程序。这款加密货币友好型应用程序允许用户交换消息、图片、视频和比特币和 Toncoin 等数字资产。它允许用户通过使用名为 Wallet 的托管钱包执行这些与加密货币相关的活动。该平台拥有一个托管钱包，以帮助在自我托管方面仍不成熟的加密货币新手。

Telegram 迅速回复了 X 的更新，指出所述漏洞并不存在。“我们无法确认是否存在这样的漏洞。这个视频很可能是个骗局，”该消息应用程序表示。

我们无法确认是否存在此类漏洞。此视频很可能是骗局。任何人都可以报告我们应用中的潜在漏洞并获得奖励：https://t.co/UkzPFSVigy

— Telegram Messenger (@telegram) 2024 年 4 月 9 日

然而，这并不是该平台第一次出现漏洞。2023 年，谷歌工程师 Dan Reva 发现了一个漏洞，该漏洞可以帮助黑客激活 macOS 笔记本电脑上的摄像头和麦克风。

Telegram 也一直在不懈地努力发现和解决其平台上的漏洞。这款消息应用程序有一个漏洞赏金计划，该计划自 2014 年以来一直在运行，为研究人员和开发人员提供机会，以发现应用程序上的问题，获得高达 10 万美元的奖励。此外，该应用程序还敦促任何发现应用程序问题的人报告这些问题。“任何人都可以报告我们应用程序中的潜在漏洞并获得奖励，”Telegram 表示。