谜团待解:Telegram 被曝存在未修复0Day漏洞可接管设备,官方矢口否认

张开发
2026/4/16 7:39:28 15 分钟阅读

最新文章

推荐文章

相关文章

分享文章

谜团待解:Telegram 被曝存在未修复0Day漏洞可接管设备,官方矢口否认
高危漏洞或致零点击远程代码执行 官方坚称不存在趋势科技旗下Zero Day InitiativeZDI平台研究员Michael DePlanteizobashi披露了Telegram的新漏洞编号ZDI-CAN-30207CVSS评分9.8。该漏洞允许攻击者在无需用户交互的情况下通过发送恶意动画贴纸即可在目标设备上执行代码。其危险性在于Telegram自动处理媒体生成预览的功能存在缺陷使得特制文件可触发代码执行。该漏洞影响Android和Linux版Telegram成功利用可导致设备完全被控。目前尚不明确该漏洞是否已被实际利用。ZDI暂未公开技术细节给予厂商修复窗口期至2026年7月24日。官方回应与安全建议意大利国家网络安全局ACN公告显示Telegram官方否认该零点击漏洞的存在强调所有贴纸在分发前均经过服务器端验证从技术层面杜绝了通过贴纸执行恶意代码的可能性。公告称经直接沟通Telegram正式否认此前报告的零点击漏洞坚称该缺陷不存在。厂商表示所有上传贴纸在分发至客户端前均需通过服务器端强制验证。作为缓解措施Telegram商务用户可在设置→隐私与安全→消息中将消息接收范围限定为已保存联系人或高级用户。地下市场的潜在威胁针对Telegram等流行平台的漏洞利用程序在地下市场价值可达数百万美元攻击者往往能快速将其武器化。当前漏洞无补丁可用的现状已引发网络安全界的广泛担忧。

更多文章