Telegram Messenger Windows 应用程序中的安全漏洞允许点击视频后执行代码

著名聊天工具Telegram 的 Windows 应用程序的源代码中包含一个文件扩展名列表，点击该文件时会发出安全警告。其中包括 Windows 可执行文件，Telegram Windows 应用程序会发出以下警告："此文件扩展名为 .exe。它可能会损坏您的计算机。您确定要运行它吗？

对于扩展名为 .pyzw 的 Python 编程语言可执行脚本，也应该出现这样的对话。 不过，由于输入错误（".pywz "而不是".pyzw"），Python 压缩包没有出现警告，但只要 Windows 系统中有 Python 解释器，点击链接后代码就会直接执行。如果现在用文件类型 "video/mp4 "对此类 Python 脚本进行混淆，可执行文件就会在 Telegram Messenger 中显示为视频。

服务器端已有解决方法

在给Bleeping Computer 的一份声明中的声明中说："在 Telegram Desktop 中[......]存在一个问题，即当 Python 解释器安装在用户电脑上时，用户必须点击恶意文件。与之前的报告相反，这不是一个 "零点击 "漏洞，它只能影响到我们极少数的用户：只有不到 0.01% 的用户安装了 Python 并使用相应版本的 Telegram for Desktop"。

Telegram 团队已经修复了 GitHub 上源代码中的错字，但目前尚未推出包含修正代码的更新版 Windows 应用程序。不过，Telegram 信使的开发人员也实施了服务器端修复，这意味着 Python 脚本存档将不再在 Windows 上直接执行，即使是代码中存在错误的旧版本，但也会像 EXE 文件一样显示警告。