0x00 前言
微信客户端是一款基于计算机技术的跨平台即时通讯软件。
移动端安卓以Java结合Android SDK开发,iOS 用Objective - C和Swift;PC端 Windows采用C++ 与 Qt框架,Mac则用Objective - C和Swift 。它运用TCP/IP协议经加密与服务器通信,保障安全。
数据库存储本地数据,如聊天记录等。采用长连接维持实时消息推送,支持多媒体编解码,实现流畅音视频通话,为全球用户提供便捷通信服务。
0x01 漏洞描述
微信客户端在自动下载聊天记录中的文件时,对文件路径的校验和过滤存在不足。
攻击者可向目标发送携带恶意文件的聊天消息,当受害者在微信里点击该聊天记录时,恶意文件会被自动下载,且通过目录穿越绕过微信安全限制,被复制到 Windows 系统启动目录。
这使得恶意代码得以植入系统关键目录并实现开机自启动。一旦受害者重启电脑,攻击者就能通过该恶意文件在受害系统中执行任意远程代码,从而控制目标系统或维持访问权限。
0x02 CVE编号
无
0x03 影响版本
微信3.9及以下版本
0x04 漏洞详情
(来源于网络)
0x05 参考链接
https://weixin.qq.com/