微信Windows客户端发现高危漏洞，升级4.0版本可修复

近日，有安全研究人员发现，微信 Windows 客户端存在一个远程代码执行漏洞，攻击者可借此在用户设备上执行恶意代码。该漏洞存在于微信 Windows 客户端 3.9 及更早版本中。官方建议用户尽快升级至 4.0 或更高版本，以消除潜在风险。

研究人员分析指出，该漏洞由“目录穿越”漏洞与“远程代码执行（RCE）”漏洞组成的复合攻击链触发。攻击者可通过构造恶意文件，在用户毫不知情的情况下实现远程代码执行，进一步可能获得系统控制权限或维持长期访问能力，严重威胁终端安全。

具体攻击场景中，当用户在微信中查看聊天记录时，客户端可能会自动下载携带恶意代码的文件，并将其复制到系统的启动目录中，实现开机自启。

进一步分析表明，该漏洞的成因在于微信客户端在自动下载聊天记录中文件时，未对文件路径进行严格校验和过滤。攻击者可借此发送包含恶意路径的文件，在用户点击聊天记录时触发自动下载行为。

通过目录穿越技术，攻击者可以绕过客户端的安全机制，将恶意代码写入 Windows 系统的关键路径中。一旦用户重启设备，恶意文件即被加载运行，攻击者便可远程控制受害设备，执行任意操作。