近日，微信客户端被曝存在远程代码执行（RCE）高危安全漏洞。该漏洞由“目录穿越”漏洞链与“远程代码执行”组合触发，攻击者可利用恶意文件在用户无感知的情况下远程执行任意代码，进而实现系统控制或权限维持，从而对终端安全造成严重影响。建议受影响的单位和用户立即升级至最新版本。

漏洞描述

当微信客户端在处理聊天记录中的文件自动下载时，未对文件路径进行充分的校验和过滤。攻击者可通过发送包含恶意文件的聊天消息，当被攻击方在微信中点击聊天记录时，恶意文件会自动下载并被复制到系统启动目录。

利用目录穿越技术，攻击者能够绕过微信的安全限制，将恶意代码植入到Windows系统的关键目录中，实现开机自启动。当被攻击者的电脑进行重启后，攻击方即可通过该文件对受害环境执行任意远程代码，进而实现系统控制或权限维持。

漏洞等级

高危

影响范围

微信3.9及以下版本均存在此问题