⚠️⚠️⚠️⚠️警告⚠️⚠️⚠️⚠️

Telegram Desktop版本远程代码执行漏洞已被确认

危害程度极高，建议用户根据文章建议关闭自动下载功能


▎情况介绍

・4月9日
一条视频宣称Telegram Desktop客户端有漏洞，能轻松实现远程代码执行恶意攻击

当日，Telegram 称无法确认 Desktop 版本远程代码执行漏洞

・4月12日
笔者发现，Telegram Desktop Github库下一条PR中提到一个Bug，能通过某种方式发送pyzw格文件，Telegram会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。


▎危害示例

点击后会打开CMD，完全没有危害性，感兴趣可以点我跳转测试。


▎防范方法

1. 出于安全考虑，请禁用自动下载功能。
按照以下步骤操作：

进入设置(Settings) —— 点击“高级(Advanced)” —— 在“自动下载媒体文件(Automatic Media Download")”部分，禁用所有聊天类型（私聊(Private chats)、群组(Groups)和频道(Channels)）中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载

2. 仔细观察，不要随意点击附件

3. 等待Telegram官方修复后，及时更新客户端至最新版本


▎技术细节
正在编写，感兴趣可以关注一下频道后续。


- 转载请标明来源谢谢❤️

我不去争辩什么，我只是单纯的就事论事，这个事吧，不是某个人的原因，也不是某个群体的原因，它是另一码事，相信大家都有各自的判断，如果你要究其原因，也许我不能说的太清楚，相信大家也若有若无地感受到了一些，但是不能很武断的说这件事的性质，因为这不合适，行内人看的很明白，也就是说这件事的影响比较大，但是这么多年了，每个人心里都有一些看法，能够解决的问题还没有完全解决，这事不是时间上的问题，而是整体发展的问题，你不能片面的理解它，有人想借这件事炒作，大家没有意识到这一点，我谈谈我的看法，我的理解是，尽量不闹大，但是说真要闹大的话，要合法合理的闹大，不能人云亦云，不能互相猜忌，大家得承认这事挺复杂，涉及成分比较多，得稳步思考。​

I just remembered this...

此版仅精简UE4，更多请等v2，内置再看

采用的QQ原版

软件版3.1.6已更新

最近版本更新的有点频繁，等稳定了再更新内置:P

采用的内测版→Android_9.0.50.16490_64.apk

明天更新QQ9.0.50精简版和内置模块
话说我是不是该搞个频道单独搞...

此频道创建目的
官方频道的更新推送是依据哔哩哔哩的三个版本 (粉版+play版+HD版) 的更新，甚至大多数时都是无依据的。但在 Github 仓库中的 Release 版是依据漫游补丁版本的更新而更新的，不过时刻去仓库查看很麻烦，所以此频道会长期搬运，也会不定时用 CI 构建版自行修改哔哩哔哩(仅粉版)

一个由哔哩漫游x引发的问题(它已修复)
取得的数据为空就闪退
OPatch→ t.me/QToolCI/302

同时更换了应用图标→小三月

我不希望没人知道
LSPosed招募内测了

有人反馈无法看到之前修补的应用以及安装在手机中的模块，但请先看看在设置中有没有开启此选项
(查询所有软件包)

Someone has provided feedback that they are unable to see the previously patched applications and modules installed on the phone, but please check if this option is enabled in the settings first
(QUERY ALL PACKAGES)

最新正式版精简版本
去除了UE4
其他精简内容待考虑(你可以教我)
内置模块请等之后
改了一下起始页素材
发现arsc好像改不了 很麻烦