微信Windows客户端被曝严重安全漏洞

近日，安全研究团队发现微信Windows客户端存在严重安全漏洞，该漏洞可被攻击者利用以执行远程代码，对用户终端安全构成威胁。

该漏洞由“目录穿越”漏洞与“远程代码执行（RCE）”漏洞组成的漏洞链触发。攻击者可构造特殊恶意文件，通过聊天消息发送给目标用户。当用户在微信中查看相关聊天记录时，恶意文件将在无任何提示的情况下自动下载，并被复制到系统启动目录。

其技术原理在于微信客户端在自动下载聊天记录中的文件时，未对文件路径进行充分验证和过滤。攻击者可借此利用目录穿越技术绕过安全机制，将恶意代码写入Windows系统的关键目录，从而实现开机自启动。

一旦用户的电脑重启后，攻击者即可通过植入的恶意文件执行任意远程代码，最终实现对目标系统的控制或维持长期访问权限。

据披露，微信Windows客户端3.9及以下版本均受此漏洞影响。建议用户尽快前往官方渠道下载并安装最新版本，以消除潜在风险。