7月20日消息，日前，火絨安全團隊和360漏洞研究院曝光并成功復現微信Windows客戶端漏洞，該漏洞可使攻擊者執行遠程代碼。

據了解，該漏洞由“目錄穿越”漏洞鏈與“遠程代碼執行（RCE）”組合觸發，攻擊者可利用惡意文件在用戶無感知的情況下遠程執行任意代碼，進而實現系統控制或權限維持，從而對終端安全造成嚴重影響。

漏洞的技術原理在于微信客戶端在處理聊天記錄中的文件自動下載時，未對文件路徑進行充分的校驗和過濾。

攻擊者可通過發送包含惡意文件的聊天消息，當被攻擊方在微信中點擊聊天記錄時，惡意文件會自動下載并被復制到系統啟動目錄。

利用目錄穿越技術，攻擊者能夠繞過微信的安全限制，將惡意代碼植入到Windows系統的關鍵目錄中，實現開機自啟動。

當被攻擊者的電腦進行重啟后，攻擊方即可通過該文件對受害環境執行任意遠程代碼，進而實現系統控制或權限維持。

據悉，微信Windows客戶端3.9及以下版本均存在此問題，建議及時從微信官網下載最新版本進行安裝。