来自 @GamerNoTitle 的各种动态的发布频道,群聊在 @DohnaNyan,私聊请发送至 @PaffCreamPMBot
内群 https://t.me/+qYXa7ES7GPc0ZD
嫌频道太吵可以开免打扰,本频道会不定时发一些日常也好新闻也好,反正就是很杂(指日常发电)
Github: https://github.com/GamerNoTitle
Twitter: https://twitter.com/GamerNoTitle
Website: https://bili33.top
内群 https://t.me/+qYXa7ES7GPc0ZD
嫌频道太吵可以开免打扰,本频道会不定时发一些日常也好新闻也好,反正就是很杂(指日常发电)
Github: https://github.com/GamerNoTitle
Twitter: https://twitter.com/GamerNoTitle
Website: https://bili33.top
原神、崩坏IP或将改编成电影
米哈游将推动公司两项原创爆款游戏IP《原神》《崩坏》实现电影转化,具体上映时间待定。米哈游表示,《原神》以及《崩坏》作为公司目前最知名的两大IP,电影化无疑有着庞大的受众,也能进一步增强米哈游的IP影响力。
via 匿名
🗒 标签: #米哈游
📢 频道: @GodlyNews1
🤖 投稿: @Godlynewsbot
米哈游将推动公司两项原创爆款游戏IP《原神》《崩坏》实现电影转化,具体上映时间待定。米哈游表示,《原神》以及《崩坏》作为公司目前最知名的两大IP,电影化无疑有着庞大的受众,也能进一步增强米哈游的IP影响力。
via 匿名
米哈游宣布,《崩坏:星穹铁道》× 茶百道联动将于4月26日正式上线。茶韵起仙舟,同景元和符玄一起品茶吧!
via 匿名
从常住人口总量规模来看,广东省以1.27亿人的规模稳居榜首,远超其他省份。
界面新闻
线索:@ZaiHuabot
投稿:@TNSubmbot
频道:@TestFlightCN
据telegram频道Rosmontis_Daily反馈,社区找到了通过自动下载触发telegram漏洞的一种方式,条件如下
1、用户系统中安装了python环境
2、用户手动点击了对应的视频
由触发条件可知,用户系统中如果没安装python环境即为百分百安全。如已安装python环境的用户,可以直接关闭自动下载。本频道提供另一种解决方法
在windows下,文件类型关联由注册表关联项实现,因此,可以通过删除对应注册表项解决
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.pyzw
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Python.NoConArchiveFile
如果担心python会自动修复注册表,将第二个注册表项中的\shell\open\command中的值修改为不存在的路径即可
1、用户系统中安装了python环境
2、用户手动点击了对应的视频
由触发条件可知,用户系统中如果没安装python环境即为百分百安全。如已安装python环境的用户,可以直接关闭自动下载。本频道提供另一种解决方法
在windows下,文件类型关联由注册表关联项实现,因此,可以通过删除对应注册表项解决
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.pyzw
\HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Python.NoConArchiveFile
如果担心python会自动修复注册表,将第二个注册表项中的\shell\open\command中的值修改为不存在的路径即可
涉及Telegram中的两个API功能——
sendVideo和InputFile。sendVideo中的video字段支持两种输入方式,“InputFile or String”,- (String)传递一个文件 ID(以字符串形式)来发送存储在 Telegram 服务器上的视频(推荐做法)
- (String/InputFile)传递一个 HTTP URL(以字符串形式)以便 Telegram 从互联网获取视频
- (InputFile)使用 multipart/form-data 上传一个新视频。
问题出在第二种,InputFile - Sending by URL时,目标资源可以拥有一个自定义的MIME标签,以指示其他Telegram客户端应该以什么方式加载这个资源。
而这些不怀好意的
.pyzw文件,(可能由于漏洞)在这里都被指定为了video/mp4,导致其他Telegram客户端将以播放器模式展示这个文件。响应标头:>图1<
请求方json:
{
"dcId": number,
"location": {
"_": "inputDocumentFileLocation",
"id": "*",
"access_hash": "*",
"file_reference": [
*, *, *, *
]
},
"size": 42,
"mimeType": "video/mp4",
"fileName": "***.pyzw"
}另外,Telegram Desktop的影片播放方式决定了Telegram Desktop将会把这些较小的视讯资源放置在本地下载目录,然后通过“执行”的方式来加载本地影片至内嵌播放器,这也就是为什么在用户点击这些“假影片”后会自动执行攻击者编写的代码。
Unpkg CDN 中断导致数千个网站短暂瘫痪
托管通用网页资源的 Unpkg CDN 每天处理超过 40 亿个请求,此次中断似乎始于美国东部时间凌晨 4 点左右,网站返回了为 Unpkg 提供支持的 Cloudflare 的 520 错误。此次中断使使用该开源 CDN 的数千个网站瘫痪,许多受此次中断影响的开发人员不得不急忙转而使用 jsDelivr,以保持他们的网站在线。Unpkg 的服务于美国东部时间上午 9 点左右开始恢复。
—— TheVerge
托管通用网页资源的 Unpkg CDN 每天处理超过 40 亿个请求,此次中断似乎始于美国东部时间凌晨 4 点左右,网站返回了为 Unpkg 提供支持的 Cloudflare 的 520 错误。此次中断使使用该开源 CDN 的数千个网站瘫痪,许多受此次中断影响的开发人员不得不急忙转而使用 jsDelivr,以保持他们的网站在线。Unpkg 的服务于美国东部时间上午 9 点左右开始恢复。
—— TheVerge
⚠️⚠️⚠️⚠️警告⚠️⚠️⚠️⚠️
Telegram Desktop版本远程代码执行漏洞已被确认
危害程度极高,建议用户根据文章建议关闭自动下载功能
▎情况介绍
・4月9日
一条视频宣称Telegram Desktop客户端有漏洞,能轻松实现远程代码执行恶意攻击
当日,Telegram 称无法确认 Desktop 版本远程代码执行漏洞
・4月12日
笔者发现,Telegram Desktop Github库下一条PR中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。
▎危害示例
点击后会打开CMD,完全没有危害性,感兴趣可以点我跳转测试。
▎防范方法
1. 出于安全考虑,请禁用自动下载功能。
按照以下步骤操作:
2. 仔细观察,不要随意点击附件
3. 等待Telegram官方修复后,及时更新客户端至最新版本
▎技术细节
正在编写,感兴趣可以关注一下频道后续。
- 转载请标明来源谢谢❤️
Telegram Desktop版本远程代码执行漏洞已被确认
危害程度极高,建议用户根据文章建议关闭自动下载功能
▎情况介绍
・4月9日
一条视频宣称Telegram Desktop客户端有漏洞,能轻松实现远程代码执行恶意攻击
当日,Telegram 称无法确认 Desktop 版本远程代码执行漏洞
・4月12日
笔者发现,Telegram Desktop Github库下一条PR中提到一个Bug,能通过某种方式发送pyzw格文件,Telegram会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。
▎危害示例
点击后会打开CMD,完全没有危害性,感兴趣可以点我跳转测试。
▎防范方法
1. 出于安全考虑,请禁用自动下载功能。
按照以下步骤操作:
进入设置(Settings) —— 点击“高级(Advanced)” —— 在“自动下载媒体文件(Automatic Media Download")”部分,禁用所有聊天类型(私聊(Private chats)、群组(Groups)和频道(Channels))中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载
2. 仔细观察,不要随意点击附件
3. 等待Telegram官方修复后,及时更新客户端至最新版本
▎技术细节
正在编写,感兴趣可以关注一下频道后续。
- 转载请标明来源谢谢❤️
喜加一 | EPIC 限免(4.11)
🎮 本期限免
Ghostrunner「幽灵行者」
第一人称视角的硬核游戏,以雷霆手段一路杀入阴森、迷幻的巨大建筑物内部。在毁灭世界的大灾难后,登上人类最后的庇护所“达摩塔”。一路过关斩将,直杀上顶层,对抗残暴的掌钥者,一雪前耻。
⏳ 下期限免
Town of Salem 2「塞勒姆镇2」
走进塞勒姆镇,一个神秘与欺骗的国度正等待着您!加入我们这个激动人心的在线策略游戏。
The Big Con「诈欺娇娃」
身为一名青少年诈欺艺术家,展开充满罪行的公路旅行冒险,一路诈骗穿越90 年代的美国!你将扮演Ali,一个充满好奇又喜欢挖苦人的高中生。
注:领取截止!4.18,23:00
链接:EGS • 1 • 上期 EGS 限免 ᵀ
#Epic #喜加一 #NE2532
🎮 本期限免
Ghostrunner「幽灵行者」
第一人称视角的硬核游戏,以雷霆手段一路杀入阴森、迷幻的巨大建筑物内部。在毁灭世界的大灾难后,登上人类最后的庇护所“达摩塔”。一路过关斩将,直杀上顶层,对抗残暴的掌钥者,一雪前耻。
⏳ 下期限免
Town of Salem 2「塞勒姆镇2」
走进塞勒姆镇,一个神秘与欺骗的国度正等待着您!加入我们这个激动人心的在线策略游戏。
The Big Con「诈欺娇娃」
身为一名青少年诈欺艺术家,展开充满罪行的公路旅行冒险,一路诈骗穿越90 年代的美国!你将扮演Ali,一个充满好奇又喜欢挖苦人的高中生。
注:领取截止!4.18,23:00
链接:EGS • 1 • 上期 EGS 限免 ᵀ
#Epic #喜加一 #NE2532
安卓第三方 ROM PixelExperience 项目宣布停止维护
维护者表示此项目是在2017年创建的,在近6年的维护后做出了结束开发的艰难决定。
PixelExperience Blog
线索:@ZaiHuabot
投稿:@TNSubmbot
频道:@TestFlightCN
维护者表示此项目是在2017年创建的,在近6年的维护后做出了结束开发的艰难决定。
PixelExperience Blog
线索:@ZaiHuabot
投稿:@TNSubmbot
频道:@TestFlightCN
