文章图片
【快升级!微信Windows客户端曝安全漏洞】【TechWeb】7月20日消息 , 近日火绒安全团队和360漏洞研究院先后曝光并复现微信Windows客户端漏洞 , 该漏洞可使攻击者执行远程代码 。 微信Windows客户端3.9及以下版本均存在此问题 , 建议用户从微信官网下载升级至微信Windows客户端 4.0或更高版本 。
火绒安全团队指出 , 该漏洞由“目录穿越”漏洞链与“远程代码执行(RCE)”组合触发 , 攻击者可利用恶意文件在用户无感知的情况下远程执行任意代码 , 进而实现系统控制或权限维持 , 从而对终端安全造成严重影响 。
若该漏洞被利用 , 当被攻击方在微信点击聊天记录 , 就会自动下载恶意文件 , 并且该恶意文件会被复制到启动目录 , 实现开机自启 。
360漏洞研究院指出 , 漏洞的技术原理在于微信客户端在处理聊天记录中的文件自动下载时 , 未对文件路径进行充分的校验和过滤 。 攻击者可通过发送包含恶意文件的聊天消息 , 当被攻击方在微信中点击聊天记录时 , 恶意文件会自动下载并被复制到系统启动目录 。
利用目录穿越技术 , 攻击者能够绕过微信的安全限制 , 将恶意代码植入到Windows系统的关键目录中 , 实现开机自启动 。 当被攻击者的电脑进行重启后 , 攻击方即可通过该文件对受害环境执行任意远程代码 , 进而实现系统控制或权限维持 。
推荐阅读
- 荣耀打破三界壁垒:80+老机型一键升级,iOS/HarmonyOS零流量互传
- 华为Mate80最快或10月发布,屏幕/影像/续航进一步曝光
- 7寸屏+9000毫安大电池,曾经风靡的巨屏手机升级回归!
- 微信更新,这限制终于解除!
- 中国5G建设取得显著成果,工信部加快6G技术研发步伐
- 12GB!新 iPhone 突然反转,升级缩水了
- 被冷落的真香中端旗舰,天玑9400+120W快充+大电池,低至2039元
- iPhone17系列:四款机型全配色揭晓,Pro版屏幕也有升级
- 一台让人等待了10年的相机,Sony RX1R III 首发快速上手体验
- 5.5″+7.8″ !新 iPhone 全面曝光,迎来 5 个新升级