微信Windows客户端发现严重安全漏洞

近日，安全软件厂商火绒安全实验室联合360漏洞研究院，披露了微信 Windows 客户端存在的一项严重安全漏洞。该漏洞存在于微信 Windows 客户端 3.9 及更早版本中，用户应尽快升级至最新版本，以防止潜在的安全风险。

据技术分析，该漏洞源于微信客户端在处理聊天记录中自动下载的文件时，未能对文件路径进行严格的校验和过滤。攻击者可利用这一缺陷，通过“目录穿越”漏洞链与“远程代码执行（RCE）”漏洞组合，发起攻击。

具体攻击方式为：攻击者向目标用户发送包含恶意文件的消息内容，当用户在微信中查看历史聊天记录时，该恶意文件将被自动下载并复制到系统的启动目录中。随后，攻击者可借助目录穿越技术绕过微信的安全机制，将恶意代码写入 Windows 系统的关键路径，从而实现开机自启。一旦目标设备重启，攻击者便可远程执行任意代码，控制用户设备。

为保障使用安全，建议用户立即更新微信客户端至最新版本。用户可通过官方渠道获取最新版程序。