ZDI 注册了一个 Telegram 的关键漏洞——不要恐慌

3 月 26 日，关于 Telegram 的条目 ZDI-CAN-30207 出现在了全球最大的独立漏洞狩猎计划 Zero Day Initiative 数据库中。该漏洞由 Trend Micro 的研究员 Michael DePlante 发现。

漏洞详情目前保密：根据 ZDI 规定，具体信息将在 Telegram 修复问题后公开；如果未修复，则在 2026 年 7 月 24 日公开。

目前没有关于该漏洞被实际黑客在野利用的信息。目前为止除研究员和 Telegram 开发者外，没有人知道该漏洞的具体内容。关于动画贴纸的流行理论只是猜测和谣言，并非该条目中已知的事实。媒体和频道传播的所有其他“细节”要么是推测，要么是对已修复旧漏洞的描述。无需恐慌。

应对措施：

• 新版本发布时立即更新 Telegram。
• 使用官方 Telegram 应用程序以在第一时间接收包含修复的更新。
• 目前无法采取其他更具体的保护措施，因为漏洞的性质尚不清楚。

Telegram 的反应

Telegram 媒体服务向 Durov's Code 表示该漏洞并不存在。他们表示所有贴纸都经过服务器检查，因此“此类漏洞的存在是不可能的”。

@tginfo 编辑觉得这一反应很奇怪。出于某种原因，Telegram 针对性地对关于贴纸的猜测进行了评论，尽管攻击向量尚未披露，且可能与贴纸无关。尚不清楚 Telegram 为何选择否认谣言，而不是简单确认他们正在处理 ZDI 报告。关于漏洞不存在的断言，理由是服务器端验证，这在技术上是有缺陷的：服务器验证只是保护层之一，本身可能存在错误，也可能无法涵盖所有可能的场景。此外，导致 Android 应用崩溃的贴纸至今仍存在，这已经质疑了所声称的检查的全面性。

Telegram 对 Durov's Code 的回应是一种声明，而非论证。只有在细节公布或补丁发布后，才能确认或否认问题的存在。

公开数据说明

根据 ZDI 条目，已知初步严重性评分为 9.8 分（满分 10 分）——以及攻击向量参数。如果评估正确，该漏洞可以通过网络远程利用，无需用户交互和系统权限，攻击者可能获得用户数据的完全访问权限。

这些参数表明了问题的严重性。然而，初步评分由研究人员设定，可能会进行调整。

背景

这并不是 Telegram 第一次面临关键漏洞。2020 年，Shielder 研究人员发现了 rlottie 库中用于动画贴纸的 13 个漏洞，包括越界写入错误，这些错误允许远程内存破坏设备。Telegram 修复了具体的漏洞，但没有改变处理架构。动画贴纸可能仍然是一个广泛的攻击面，因此不能排除新漏洞专门利用它们的可能性。

2024 年，Telegram Desktop 中发现了一个漏洞，该漏洞允许程序伪装成视频，从而更容易说服受害者点击并启动它们。2025 年，在 Android 系统上发现了类似的 EvilLoader 漏洞。与此同时，俄罗斯漏洞经纪人 Operation Zero 出价高达 400 万美元收购 Telegram 的零点击漏洞，而该通讯软件的一位代表告诉福布斯，“Telegram 从未对零点击漏洞存在脆弱性。”

实践表明，Telegram 更倾向于修补具体漏洞，而不解决系统性的安全问题，考虑到这一历史，这种关于“绝对不可能”存在漏洞的说法难以令人信服。