⚠️⚠️⚠️⚠️警告⚠️⚠️⚠️⚠️

Telegram Desktop版本远程代码执行漏洞已被确认

危害程度极高，建议用户根据文章建议关闭自动下载功能


▎情况介绍

・4月9日
一条视频宣称Telegram Desktop客户端有漏洞，能轻松实现远程代码执行恶意攻击

当日，Telegram 称无法确认 Desktop 版本远程代码执行漏洞

・4月12日
笔者发现，Telegram Desktop Github库下一条PR中提到一个Bug，能通过某种方式发送pyzw格文件，Telegram会将其识别为视频文件，实现伪装视频效果，且客户端默认设置条件下，会自动下载文件，用户看到后常常会下意识点击执行，攻击生效。


▎危害示例

点击后会打开CMD，完全没有危害性，感兴趣可以点我跳转测试。


▎防范方法

1. 出于安全考虑，请禁用自动下载功能。
按照以下步骤操作：

进入设置(Settings) —— 点击“高级(Advanced)” —— 在“自动下载媒体文件(Automatic Media Download")”部分，禁用所有聊天类型（私聊(Private chats)、群组(Groups)和频道(Channels)）中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载

2. 仔细观察，不要随意点击附件

3. 等待Telegram官方修复后，及时更新客户端至最新版本


▎技术细节
正在编写，感兴趣可以关注一下频道后续。


- 转载请标明来源谢谢❤️

minor update

via 匿名

from 摸鱼日报 🐬 Leisure Everyday

你看—— 生数科技与清华联合推出视频大模型 Vidu
OpenAI 还有没有新活？GPT5 什么时候掏出来阿喂，Sora 又什么时候开放给大伙用
小道消息说 GPT5 全部都是应用层面上的升级，OpenAI 是打算转行做软件研发了吗

QQ 做的什么逆天列表啊....

发现写的很好的一篇关于 Rust 的文章 我已经自行翻译了 推荐一下

三年后，我们退出了 Rust 游戏开发
中文译文 | 英文原版

作者对 Rust 的看法和我十分相似：
它是一门好的语言，但不是一门“完美”的语言。
它还是一门非常有针对性的语言。在适合它的方面，使用他来写程序会带来安全且舒适的开发体验，然而，在不太适合的方面，使用它仅仅是自找麻烦。
而问题在于，Rust 的一些用户好像并不知道这一点。就像曾经的 Python 用户一样。无论是什么样的需求，“只要使用 Rust 就是好的”。我个人认为这是非常不合理的。没有语言是完美的，每个语言都有其自己擅长的和不擅长的一部分领域，在了解需求前盲目向别人推荐某个语言，是非常不可取的。

引用文章开头的一段话：

如果你的目标是学习 Rust,因为它看起来很有趣,你喜欢技术挑战,那完全没问题。但我想通过这篇文章反思的一部分是，人们经常在不知道对方是在构建技术演示还是试图交付某些东西的情况下，建议使用 Rust 开发游戏。整个社区压倒性地专注于技术,以至于游戏开发中的"游戏"部分成了次要的。举个例子,我记得有一次关于 Rust Gamedev Meetup 的讨论,虽然可能是开玩笑的，但我认为仍然说明了这个问题，大致是"有人想在聚会上展示一个游戏,这居然是可以的吗?"……我不是想说人们应该和我们有相同的目标,但我认为也许有些事情的传达方式可以更清晰,人们应该更诚实地面对他们正在做的事情。