Telegram Desktop版本远程代码执行漏洞已被确认

疑似攻击者通过伪造MIME type实现客户端欺骗，涉及Telegram中的两个API功能——sendVideo和InputFile。前置条件: Telegram Desktop Windows <＝v4.16.6 + 安装Python环境。

sendVideo中的video字段支持两种输入方式，“InputFile or String”，问题出在InputFile - Sending by URL时，目标资源可以拥有一个自定义的MIME标签，以指示其他Telegram客户端应该以什么方式加载这个资源。而这些被篡改且不怀好意的.pyzw文件，在这里都被指定为了video/mp4，导致其他Telegram客户端将以播放器模式展示这个文件。

另外，Telegram Desktop Github 库下一条 PR 中提到一个 Bug，能通过某种方式发送 pyzw 格文件，Telegram 会将其识别为视频文件，实现伪装视频效果，Telegram Desktop的影片播放方式决定了Telegram Desktop将会把这些较小的视讯资源放置在本地下载目录，然后通过“执行”的方式来加载本地影片至内嵌播放器，这也就是为什么在用户点击这些“假影片”后会自动执行攻击者编写的代码。

详细技术分析

Telegram Desktop 媒体文件处理存在可用于恶意攻击的漏洞


往期：点击

from：@TestFlightCN

PS：事情反转，成真的了。打脸来得太快😂😂😂

如何避免，请回看这篇帖文：

点击

总结起来就一句话：关闭自动下载（我相信你们学习使用TG的时候已经学过这一招了🤐🤐🤐）

#资讯

💻💻 关注频道：@onesees

再论•关于互联网赚钱：自媒体和网络创业

关注过我的朋友可能知道，我一直不太发纯文字的帖子，可能是由于纯理工科出身的缘故，我所膜拜和追求的是各种新颖独特的技术，然后去学习去折腾。而对于国内平台（这里没有任何歧视的意思），我是很讨厌各种所谓的强势文化传播，视频二创，赚钱秘笈，爆粉、涨粉秘笈的。可能对于我来说，很多东西我看得太过于理想化，以至于不想去污染它，比如网络，也许在我的观点里面，它就该是开放包容的，互帮互助的，可这只是我对网络的个人理解，这也导致我对国内那些互联网赚钱“秘笈”和“技巧”嗤之以鼻，虽然自己在国内网络做过不少网络方面的事情，但好几次都是免费的，甚至有一次差点被人起诉，也真的只能被称为事情。

事情总会发生变化，变化是从什么时候开始的呢？可能是从我意识到我受到的教育一直羞于谈钱的时候开始；可能从自己脑子里没有任何商业、金融知识储备的时候开始；可能从自己口袋里空无一文的时候开始；可能从自己面临养活自己的时候开始；

我终于理解了那些心甘情愿做韭菜，然后花大几千进入生财有术求一个自媒体赚钱方向或花99元进入AI训练营听那些“导师”和“大佬”忽悠的等等大众了，因为我也成了大众的一员----寻求一种赚钱的秘籍，寻求一套放之四海而皆准的赚钱法则，之前的年代是随大流下海经商，后来是进各种体制，而现在是各种轻创业、网络创业。

可关于赚钱的真相却是：这个世界上并不存在“葵花宝典”！！！

我不知道那些苦苦盯着后台数据，等待爆粉或流量的人有没有意识到，赚钱本来就不是一蹴而就的，你看到的赚大钱的人，在赚大钱之前势必有很长时间的一个积累和探索时期，也付成了很多金钱和时间成本，只不过我们选择性的看不见罢了。而至于那些网络上教授别人赚钱的博主，我之前也说过，大概率是他自己创业，创业项目是：教别人赚钱，目的是：自己赚钱，也许他真的公开了一些秘笈，至于你能否赚钱，并不是他的考虑范围。而很多人想当然的觉得，我可以把他们赚钱的方法拿过来直接用，对此，有一句俗语我想分享给大家思考：胡子上的米饭能吃饱吗？

这片土地遵循的是亘古不变的丛林法则，社达在这里才是主流，以至于不论互联网还是现实生活里，无处不挥舞着镰刀，而我们只是一次次被收割的韭菜。要避免这样的命运，我想唯一的路可能是坚持学习，不断的积累，完成从0到1的爆发，而不是花钱去求一份“葵花宝典”！！！！

#话题 #记述 #随笔

💻💻 关注频道：@onesees

要是有这样一个女儿正合我意，哈哈哈🤣🤣🤣

#视频

💻💻 关注频道：@onesees

关于网络创业/自媒体或者写论文，可以看看下面这个频道：

全网行业报告/研报分享
@hangyebaogao

#频道 #行业报告

💻💻 关注频道：@onesees

澳洲昆士兰大学两位华裔研究员发明了用二氧化碳发电的发电机，可能为新的工业规模的碳捕获打开大门。如果可以扩大应用规模，或可显著减少全球二氧化碳排放。

#资讯

💻💻 关注频道：@onesees

Hitomi Downloader——免费开源全能下载工具

地址：https://github.com/KurtBestor/Hitomi-Downloader

#工具 #下载工具

💻💻 关注频道：@onesees

PDF编辑软件一

----------office转PDF----------
1.VBScript_DOC2PDF
批量转换当前目录及子目录下所有DOC文件到PDF
地址：https://github.com/cxgreat2014/VBScript_DOC2PDF

2.Office2PDF
Office 文件（Word、Excel、PPT）批量转为 PDF 文件
地址：https://github.com/evgo2017/Office2PDF

3.批量处理小工具
①批量将word文档转换为pdf
②给pdf文档批量添加水印
地址：https://github.com/RotaNova/DocxToPDFWithWatermark

4.PDF_Translator
PPT、Word、图片批量转PDF程序
地址：https://github.com/oneflyingfish/PDF_Translator

5.word批量转pdf
选中文件夹 将文件夹里的所有word文件转为pdf格式的
地址：https://github.com/YuChenDayCode/WordToPDF

6.WordToPdf
将word文档批量转换pdf
地址：https://github.com/YukeLing/WordToPdf

7.PDF批量转换工具
Word文档、图片批量转换为PDF格式
地址：https://github.com/wowqaqtat/PDF-Tool

----------PDF转Word----------
1.PDF转word
可实现批量pdf转word
地址：https://github.com/Shanyaliux/pdf2word

2.PDF转Word软件合集
地址：https://www.yuque.com/eureka9527/0007/hnsmcimnbfgn97iv

----------PDF解密----------
1.batch-unlock-pdf
批量解密pdf并输出无加密版本
地址：https://github.com/hanFengSan/batch-unlock-pdf

2.RemovePwd
移除PDF、xlsx、pptx限制密码，解除编辑限制
地址：https://github.com/cocolight/RemovePwd/

from：@fku0007

#工具 #PDF

💻💻 关注频道：@onesees

PDF编辑软件二

----------综合----------
1.PDF工具箱
功能：批量添加目录/书签，增强图像，拆分pdf，合并pdf
地址：https://github.com/devxzh/PDFTools

2.金山PDF大学专业定制版（V11.8.0.8845），国产软件功能无限制
地址：https://www.52pojie.cn/thread-1882003-1-1.html

地址：https://pan.baidu.com/s/1XNJkp6EpQv5bFsgZDr9wMA
提取码：g7me

3.【坤Tools】一个支持WORD/PDF/EXCEL/PDF等格式的转换软件
地址：https://www.52pojie.cn/thread-1909757-1-1.html

地址：https://pan.baidu.com/s/1EizO3_JfOEduOiH7xzIoGA 提取码：6666

4.飞扬PDF v1.0.4 高质量免费编辑转换器
转换、合并、分割、压缩、旋转、添加水印和保护 PDF，兼容win11/win10/等操作系统
地址：https://www.viyoung.net/index.html

----------PDF添加水印----------

1.批量处理小工具
①批量将word文档转换为pdf
②给pdf文档批量添加水印
地址：https://github.com/RotaNova/DocxToPDFWithWatermark

2.pdf-water
地址：https://wwl.lanzouj.com/iXXvB1ri1i3e 密码:52pj

----------PDF去水印----------
1.【MacOs】去除多种颜色的PDF水印
地址：https://github.com/TAber-W/NO-PDF-WM

已经同步更新到【语雀】文档
地址：https://www.yuque.com/eureka9527/0007/okauqsh02ws9fbnk

----------图片转PDF----------

1.图片批量转PDF
地址：https://github.com/NaughtDZ/Image2Pdf

2.PDF_Translator
PPT、Word、图片批量转PDF程序
地址：https://github.com/oneflyingfish/PDF_Translator

3.PDF批量转换工具
Word文档、图片批量转换为PDF格式
地址：https://github.com/wowqaqtat/PDF-Tool

----------PDF转图片----------

1.pdftoimage
地址：https://github.com/json-chow/pdftoimage

2.pdf-to-jpg
地址：https://github.com/KubaSzostak/pdf-to-jpg

3.PDFtoImage
地址：https://github.com/sungaila/PDFtoImage

地址：https://www.sungaila.de/PDFtoImage/

以上内容已经同步更新到【语雀】文档
地址：https://www.yuque.com/eureka9527/0007/okauqsh02ws9fbnk

from：@fku0007

#工具 #PDF

💻💻 关注频道：@onesees

中国年轻人，不敢gap year 想起一个很老的段子：考上高中就好了，考上大学就好了，找到工作就好了，成家了就好了，孩子大了就好了，老了就好了……

你人生路上的每一步都有无数的人在教你按照他们的给的方向走下去，尽管他们从未思考过自己的一生体验到了什么，他们只会机械地重复着周围人灌输给他们的“成功”模板，仿佛人生是一条固定的流水线，只要按部就班就能抵达幸福的终点，而那些所谓的“方向”也只是他们经验和观点的一种延伸。

from：@personal_hub

PS：挺有意思的一篇文章，在墙内爆火了。转载一下！😂😂😂

#文章 #社会纪实 #公众号

💻💻 关注频道：@onesees

这个有点厉害，还能鉴别！！！

#视频

💻💻 关注频道：@onesees

一些国外的优秀的音乐频道：

@muzika_flac

@losslessmusicarchive

@musicbox161

@flac_selected

@KoleksiFlac

@FLAC_DSD_LOSSLESS_HIRES

@DSDbestchannel

@musicaflac555

@hindiflacsongposting

@vjdab

@rock_hires_flac_wav

@flac_download

@loseless24

@DSDFLACCOLLECTION

#频道推荐 #音乐 #频道

💻💻 关注频道：@onesees

Simulon 用"虚拟琥珀"展示了先进的AR光线交互技术

创始人 Divesh Naidoo 在 Twitter/X 分享了这段工作流。AR软件 Simulon 确保基于现实环境的透视、反射和折射正确，Keen Tools 的 Geotracker 插件进行几何对象跟踪，精确相机和场景表示数据协调，实现了这段复杂材质的灯光交互。

上：原视频
下：AR (琥珀在拍摄设备实时可见)

#咨询 #视频

💻💻 关注频道：@onesees