火绒安全团队和360漏洞研究院近日爆料并成功复现一处微信Windows客户端漏洞，该漏洞可使攻击者执行超距离代码。

据了解，该漏洞由“目录穿梭”漏洞链和“超距离代码执行（RCE）”组合触发，攻击者可利用恶意文件在用户无感知的情况下超距离执行任意代码，进而实现体系控制或权限维持，从而对终端安全造成严重影响。

漏洞的技术原理在于微信客户端在处理聊天记录中的文件自动下载时，未对文件途径进行充分的校验和过滤。

攻击者可通过发送包含恶意文件的聊天消息，当被攻击方在微信中点击聊天记录时，恶意文件会自动下载并被复制到体系启动目录。

利用目录穿梭技术，攻击者能够绕过微信的安全限制，将恶意代码植入到Windows体系的决定因素目录中，实现开机自启动。

当被攻击者的PC进行重启后，攻击方即可通过该文件对受害环境执行任意超距离代码，进而实现体系控制或权限维持。

据悉，微信Windows客户端3.9及下面内容版本均存在此难题，提议及时从微信官网下载新鲜版本进行配置。