Telegram 遭遇严重 0-Day 漏洞深度技术分析：ZDI-CAN-30207 与 CVSS 9.8 的远程代码执行威胁李白你好-实战攻防李白你好

2026 年 3 月 26 日，Trend Micro 旗下 Zero Day Initiative（ZDI）研究员 Michael DePlante（@izobashi）发现并上报了 Telegram 即时通讯应用中的一个高危 0-Day 漏洞，内部编号 ZDI-CAN-30207。该漏洞 CVSS v3.1 基础评分为 9.8（Critical），向量字符串为 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H，属于远程、无需用户交互、低复杂度即可实现高保密性、高完整性、高可用性影响的典型远程代码执行（RCE）场景。

这一漏洞迅速引发全球安全社区关注，因为 Telegram 全球月活跃用户已超 10 亿，任何客户端侧的零点击 RCE 都可能导致大规模隐私泄露、设备接管甚至蠕虫式传播。目前 ZDI 遵循负责任披露原则，给予 Telegram 开发团队 90 天修复窗口（截至 2026 年 7 月 24 日），在此期间无官方补丁，技术细节也处于严格保密状态。

一、漏洞背景与发现过程

ZDI 是全球知名的零日漏洞协调机构，本次漏洞由其研究员在常规安全研究中发现并上报。ZDI 官方“Upcoming Advisories”页面已公开列出该条目，但未披露具体技术细节，仅确认受影响产品为 Telegram Messenger。

多家安全媒体（如 Red Hot Cyber）报道称，该漏洞可能与动画贴纸（.tgs 格式）的自动处理有关：攻击者只需向目标用户发送一个特制动画贴纸，Telegram 客户端在聊天预览、通知栏渲染或自动下载媒体时即可触发漏洞，无需用户点击或打开消息。

部分分析进一步推测根因可能位于 Skia 图形引擎（Telegram 用于 2D 图形渲染的库，与 Chrome、Android 等广泛使用）对动画帧的内存分配处理上，具体表现为“层深度”（layer depth）值异常导致的堆缓冲区溢出（Heap Buffer Overflow），从而实现从媒体解析沙箱逃逸到任意代码执行。

注意：上述技术细节目前仍为媒体与社区推测，ZDI 与 Telegram 尚未正式确认。Telegram 官方已在 X（原 Twitter）上明确否认“零点击贴纸利用”说法，强调“所有上传至 Telegram 的贴纸均经过服务器验证，不可能通过损坏的贴纸实现攻击”。这导致目前存在厂商与研究者之间的公开分歧。

二、CVSS 9.8 评分的深层含义

CVSS 向量分解如下：

AV:N（网络可达）：攻击者无需物理接触或本地权限，仅需知道目标用户名/手机号即可发送恶意消息。
AC:L（低复杂度）：构造恶意贴纸或媒体文件的难度低，据称地下论坛已出现生成工具。
PR:N / UI:N（无需权限与用户交互）：真正意义上的零点击（zero-click），符合“Ghost-Stamp”式攻击特征。
S:U（不改变安全边界）：漏洞影响 Telegram 应用自身权限范围。
C:H / I:H / A:H（高影响）：一旦得手，攻击者可读取全部聊天记录（含 Secret Chat 内存解密后内容）、访问麦克风/摄像头、窃取联系人/位置数据，甚至将恶意代码传播至受害者联系人列表，形成蠕虫效应。

9.8 分几乎是远程 RCE 的最高评级，远超普通缓冲区溢出，体现了攻击面（富媒体自动渲染）与影响面的双重严重性。

三、影响范围

受影响平台：主流报道指向 Android 与 Linux Desktop 版本；Windows 与 iOS 暂未明确列入，但 iOS 在 Lockdown Mode 下可能部分缓解。
受影响版本：因细节未公开，暂无法确认具体版本范围，所有未更新到修复版的客户端均可能受影响。
实际威胁：截至 2026 年 3 月 30 日，无公开 PoC，也无证据显示已在野利用。但 ZDI 高分 0-Day 往往在披露前已被国家级 APT 或地下市场关注，风险窗口期长达四个月。

四、Telegram 回应与当前状态

Telegram 官方立场强硬，称“该漏洞不存在”，并指出研究者描述的“损坏贴纸”攻击路径已被服务器端验证机制阻断。这与 ZDI 9.8 分的正式评分形成鲜明对比，类似历史案例中厂商与研究者常在细节定义上存在分歧。无论最终真相如何，在补丁正式发布前，用户仍需采取防御措施。

五、立即可执行的缓解措施

在官方补丁上线前，推荐以下硬化策略（适用于 Android / Desktop）：

禁用自动媒体下载（最关键）：

设置 → 数据和存储 → 自动媒体下载 → 关闭“使用移动数据时”“Wi-Fi 连接时”“漫游时”全部选项。
设置 → 聊天设置 → 关闭“自动播放 GIF”和“自动播放视频”。

限制消息来源：

设置 → 隐私与安全 → 将“群组与频道”“语音通话”权限改为“我的联系人”。

桌面版额外防护：

使用 Flatpak / Snap 沙箱化运行，或在虚拟机 / 容器中隔离 Telegram。
优先考虑 Web 版（利用浏览器沙箱）或官方桌面版最新测试版。

其他最佳实践：

启用两步验证（2FA）。
避免从未知来源接收消息；敏感账号可暂时切换其他安全通讯工具。
关注 Telegram 官方更新推送，一旦补丁发布立即升级（预计包含 v11.x+ 版本）。

六、安全启示：富媒体时代即时通讯的安全边界

本次事件再次凸显现代 IM 应用“富媒体自动渲染”带来的巨大攻击面。动画贴纸、GIF、视频预览等功能极大提升用户体验，却也成为客户端解析器（Skia、Lottie 等）的潜在弱点。开发者应吸取教训：

媒体解析器必须实现严格沙箱 + 内存安全（Rust / WebAssembly 隔离）。
服务器端应强化对用户上传媒体的深度模糊测试（fuzzing）与格式验证。
客户端应默认采用“零信任”媒体处理策略：非联系人消息默认不预览。

对用户而言，这提醒我们：即使是端到端加密的通讯工具，客户端实现的安全性同样至关重要。

结语

ZDI-CAN-30207 是 2026 年迄今最受关注的移动端 0-Day 之一，其 9.8 的 CVSS 分数与零点击特性足以让安全团队彻夜难眠。虽然 Telegram 否认具体攻击向量，但 ZDI 的专业信誉与高分评级不容忽视。在补丁正式落地前，禁用自动媒体下载 + 限制未知消息 是最有效的临时防护手段。

我们将继续跟踪 ZDI 披露进度与 Telegram 官方补丁，一旦有新 PoC、根因分析或 CVE 编号发布，将及时更新技术细节。安全社区的共同努力，正是将 0-Day 转化为已知风险的关键。

参考来源：ZDI Upcoming Advisories、Red Hot Cyber、SecurityOnline 及 Telegram 官方声明。文章撰写时（2026 年 3 月 30 日）所有信息基于公开渠道，细节受负责披露政策限制。

文章版权归作者所有，转载请标明出处。

THE END