火绒安全团队和360漏洞研究院近日曝光并成功复现一处微信windows客户端漏洞,该漏洞可使攻击者执行远程代码。
据了解,该漏洞由“目录穿越”漏洞链与“远程代码执行(rce)”组合触发,攻击者可利用恶意文件在用户无感知的情况下远程执行任意代码,进而实现系统控制或权限维持,从而对终端安全造成严重影响。
漏洞的技术原理在于微信客户端在处理聊天记录中的文件自动下载时,未对文件路径进行充分的校验和过滤。
攻击者可通过发送包含恶意文件的聊天消息,当被攻击方在微信中点击聊天记录时,恶意文件会自动下载并被复制到系统启动目录。
利用目录穿越技术,攻击者能够绕过微信的安全限制,将恶意代码植入到windows系统的关键目录中,实现开机自启动。
当被攻击者的电脑进行重启后,攻击方即可通过该文件对受害环境执行任意远程代码,进而实现系统控制或权限维持。
据悉,微信windows客户端3.9及以下版本均存在此问题,建议及时从微信k8凯发国际官网下载进行安装。
相关推荐
近日,vivo 在印度尼西亚k8凯发国际官网悄然上线了全新机型 vivo y400,标志着这款新机的发布已进入最后阶段。 据k8凯发国际官网披露的信息显示,vivo y400 是一款支持 4g 网络的智能手机,配备一块 6.67 英寸的平面 amoled 屏幕,分辨率达到 fhd 级别,并支持 120hz 高刷新率。屏幕还具备 100% dci-p3 广色域表现,峰值亮度高达 1800 尼特,即便在阳光直射环境下也能清
应广大玩家强烈要求,《peak》开发团队终于带来了这个酝酿已久的更新——当你和同伴被困荒岛且食物耗尽时,生存抉择的残酷体验就此展开。 尽管听起来有些荒诞,但《peak》最新版本确实加入了“食人系统”。如果你愿意为登顶付出任何代价——包括同伴的生命——那么这个更新就是为你准备的。 开发商aggro crab在社交平台用一句“行吧”推翻了此前“不能加食人机制”的声明。本次更新除波兰语/土耳其语本地化及
在原神中,打开启动器获取最新版本方法是首先打开原神文件夹,找到启动器:launcher.exe,在游戏程序文件夹的上一级。启动器安装目录里面有个config.ini,通过u盘拷贝或者硬盘移动的玩家,可以通过修改genshin impact 目录下的config记事本,将game_install_path改为游戏的实际目录即可,注意斜杠。 详细答案: 原神启动器位置介绍 启动器:launcher.e
photoshop不一定需要插件即可打开cr2文件,但需确保camera raw滤镜版本支持你的相机型号;2. 检查photoshop和camera raw滤镜版本,若版本过低则通过creative cloud或手动方式更新;3. 若cr2文件无法打开,先确认文件是否损坏,可用系统自带查看器测试;4. 可将cr2转换为dng等兼容格式以提升支持性;5. 若仍无法识别,可能因相机型号过新而旧版cam
贝壳找房怎么提高曝光,可以通过房源评价来提升房子曝光度。解锁手机,找到贝壳找房app图标,单击进入,向下滑动,找到发布的房源信息,单击进入,单击进入“发布房源”,填写“说说房子”,“说说小区”之后,上传图片,单击“确认提交”,单击左上角“←”,等待审核。 贝壳找房提高曝光操作方法: 解锁手机,找到贝壳找房app图标,单击进入 向下滑动,找到发布的房源信息,单击进入 单击进入“发布房源” 填写“说说
最新消息显示,intel正秘密推进其高端“ax”系列芯片的研发,首款型号命名为nova lake-ax,旨在与amd的halo apu展开直接竞争。 据悉,intel的nova lake处理器家族计划于明年正式亮相,覆盖从移动端到桌面端的全系列产品线。其中,nova lake-ax将主打“发烧级”市场定位,初期或将率先登陆高性能笔记本平台,后续不排除登陆桌面平台的可能性。 回顾此前信息,早在去年就
近日,有数码博主透露了疑似华为mate 80系列新机的部分配置和功能信息。据cnmo了解,该系列新机预计将在2025年第四季度(或为12月)发布,包括标准版、pro、pro 以及rs 非凡大师四款版本,主打双层oled直屏设计、3d人脸识别技术和影像系统升级等亮点。 华为手机 据悉,华为mate 80系列将全面回归直面屏设计,放弃此前使用的等深微曲屏方案。其中标准版配备6.75英寸1.5k分辨率直
苹果即将发布iphone 17 pro与iphone 17 pro max,关于其外观设计的消息已经逐渐清晰,但色彩方案的传闻仍在持续发酵。据cnmo获悉,有海外媒体根据最新传言和推测,制作出了iphone 17 pro系列的渲染图。 iphone 17 pro系列渲染图 在配色方面,不同消息来源之间既有共识也有分歧: 根据sonny dickson的爆料,pro系列将提供黑色、灰色、银色、深蓝色
