0x00 前言
微信客户端是一款基于现代计算机技术开发的跨平台即时通讯工具。
在移动端,安卓版本主要采用Java语言配合Android SDK构建,iOS版本则使用Objective-C与Swift进行开发;PC端方面,Windows版本基于C++并结合Qt框架实现,Mac版本则采用Objective-C和Swift编写。其通信底层依赖TCP/IP协议,通过加密机制与服务器进行数据交互,确保通信安全。
本地数据如聊天记录等由数据库进行存储管理。客户端通过长连接机制保障消息的实时推送,同时支持多种多媒体编解码技术,确保音视频通话的流畅体验,为全球用户提供高效便捷的通信服务。
0x01 漏洞描述
微信客户端在处理聊天记录中文件的自动下载功能时,存在对文件路径校验不严的问题。
攻击者可构造包含恶意文件的聊天消息并发送给目标用户。当用户在微信中查看相关聊天记录时,该恶意文件将被自动下载,并利用目录穿越技术绕过客户端的安全防护机制,被写入Windows系统的启动目录中。
此举可使攻击者成功将恶意代码植入系统关键路径,并实现开机自启。一旦用户重启计算机,恶意程序将自动运行,攻击者即可在目标系统中执行任意远程代码,进而实现对受害主机的远程控制或长期驻留。
0x02 CVE编号
暂无
0x03 影响版本
微信3.9及更早版本
0x04 漏洞详情
(来源于网络)
0x05 参考链接
