火绒安全团队联合360漏洞研究院曝光了微信Windows客户端一项远程执行代码漏洞，影响3.9及以下版本。该漏洞利用了客户端处理聊天记录文件自动下载时，对文件路径校验和过滤不充分的问题。攻击者可发送包含恶意文件的聊天消息，诱导受害者点击，触发恶意文件自动下载并复制到系统启动目录。结合目录穿越技术，攻击者能绕过安全限制，将恶意代码植入关键目录实现开机自启动，从而在受害者重启设备后执行任意远程代码。

⚠️ **远程代码执行漏洞披露**：火绒安全团队与360漏洞研究院联合发现并复现了微信Windows客户端（3.9及以下版本）一项远程执行代码漏洞。该漏洞允许攻击者在用户不知情的情况下执行恶意代码。

📂 **目录穿越与自动下载是关键**：漏洞的根本原因在于微信客户端在处理聊天记录中的文件自动下载时，未能充分校验和过滤文件路径，这使得攻击者可以利用“目录穿越”技术。

💻 **恶意代码植入与开机自启**：攻击者通过发送恶意文件消息，诱导用户点击，使恶意文件自动下载并复制到受害者系统的启动目录。通过目录穿越，恶意代码得以绕过安全限制，植入关键目录并实现开机自启动。

🚀 **实现远程控制**：一旦受害者重启设备，攻击者便能利用已植入的恶意文件，在受害者环境中执行任意远程代码，从而对用户设备进行控制。

IT之家 7 月 20 日消息，据“火绒安全”官方公众号，火绒安全团队联合 360 漏洞研究院曝光并成功复现了微信 Windows 客户端一项远程执行代码漏洞。微信 Windows 客户端 3.9 及以下版本均存在此问题，用户应及时更新最新版本客户端。

据介绍，该漏洞具体技术原理为“微信客户端在处理聊天记录中的文件自动下载时，未对文件路径进行充分的校验和过滤”，可由“目录穿越”漏洞链与“远程代码执行（RCE）”组合触发。

具体操作方面，黑客可向受害者发送包含恶意文件的聊天消息，当被受害者在微信中点击聊天记录时，恶意文件便会自动下载并被复制到受害者系统启动目录。之后黑客可利用目录穿越技术绕过微信安全限制，将恶意代码植入到 Windows 系统的关键目录中，实现开机自启动。受害者重启设备后，黑客即可通过该文件对受害者环境执行任意远程代码。

大家在IT之家微信号回复“微信”两字，即可获取当前最新官方内部版微信下载。