微信Windows客户端远程代码执行漏洞预警

一、 基本情况

近日，监测发现微信（Windows客户端）存在一个高危的在野0day漏洞，该漏洞是微信内置浏览器调用了V8引擎解析JavaScript代码，并关闭沙盒模式（--no-sandbox参数），导致漏洞利用难度降低，影响较大。攻击者利用该漏洞，通过构造恶意的钓鱼链接发送至目标用户，当目标用户打开该链接时，触发漏洞，最终获取用户PC控制权限。目前，厂商已发布新版本完成修复，建议广大用户及时将微信（Windows客户端）升级到3.2.1.141及以上版本进行防护，做好资产自查以及预防工作，以免遭受黑客攻击。

二、 影响范围

微信 Window版客户端 < 3.2.1.141

三、 安全建议

腾讯官方已紧急发布新版本修复该漏洞，微信Windows客户端会自动审计，用户也可以通过“设置”-“关于微信”-“升级版本”升级至3.2.1.141及以上版本。

四、参考链接

https://mp.weixin.qq.com/s/qAnxwM1Udulj1K3Wn2awVQ

（来源：工业和信息化部网络安全威胁和漏洞信息共享平台 https://www.cstis.cn/post/a2066414-ed25-d8d6-9156-d8863bd96f26）