爱妻慈蓝伶火绒安全团队和360漏洞研究院曝光并成功复现微信Windows客户端漏洞，该漏洞可使攻击者执行远程代码。

　　据了解，该漏洞由“目录穿越”漏洞链与“远程代码执行（RCE）”组合触发，攻击者可利用恶意文件在用户无感知的情况下远程执行任意代码，进而实现系统控制或权限维持，从而对终端安全造成严重影响。

　　漏洞的技术原理在于微信客户端在处理聊天记录中的文件自动下载时，未对文件路径进行充分的校验和过滤。

　　攻击者可通过发送包含恶意文件的聊天消息，当被攻击方在微信中点击聊天记录时，恶意文件会自动下载并被复制到系统启动目录。

　　利用目录穿越技术，攻击者能够绕过微信的安全限制，将恶意代码植入到Windows系统的关键目录中，实现开机自启动。

　　当被攻击者的电脑进行重启后，攻击方即可通过该文件对受害环境执行任意远程代码，进而实现系统控制或权限维持。

　　据悉，微信Windows客户端3.9及以下版本均存在此问题，建议及时从 微信官网 下载最新版本进行安装。

　　iPhone 17全系屏幕将迎来两项重大升级 边框更窄且灵动岛全新设计

　　80%的电视机/iPhone等零部件来自中国：印度高管直言我们制造是笑线颗！“吉林一号”建成全球最大亚米级商业遥感卫星星座

　　微星MPG 274URDFW E16M白龙图赏：纯白美学与硬核性能的视觉交响