【严重漏洞】微信客户端远程代码执行漏洞

这两天微信客户端远程代码执行漏洞，闹得沸沸扬扬，据传原漏洞挖掘者向腾讯SRC提交漏洞，回复是内部已知，并未给白帽奖励。后来漏洞不知怎么流传出去了，某公司因此漏洞在护网期间被打下线。

以下是关于该漏洞的详细介绍：

漏洞原理

1. 篡改聊天记录内存数据 ：攻击者构造包含恶意内容的文件，如伪装成文档、图片等的可执行文件，并通过聊天记录转发场景，诱导用户点击聊天记录。在此过程中，攻击者可能利用微信客户端的解析漏洞，将聊天记录中存储的文件元数据或内容替换为恶意构造的数据。
2. 触发微信自动下载恶意文件 ：当用户执行转发操作或者点开聊天记录的时候，微信客户端会尝试解析并传输聊天记录中的文件。由于内存已被篡改，微信会误将恶意文件识别为正常文件，并自动从攻击者控制的服务器下载该文件。
3. 路径穿越写入自启动目录 ：恶意文件下载后，攻击者利用路径穿越，通过构造特殊路径，如../../启动目录路径，绕过微信客户端限制，将恶意.lnk快捷方式（快捷方式指向远程恶意程序）强制写入用户的系统启动目录。
4. 用户重启触发RCE ：当用户重启电脑时，系统会自动执行启动目录中的所有程序。此时，恶意.lnk快捷方式会被触发，进而调用其指向的远程恶意代码，最终导致攻击者获得用户电脑的控制权。
5. 
   

影响范围

微信3.9及以下版本均存在此问题。

防范措施

1. 检查微信版本 ：若为3.9及以下版本，务必至官网下载4.0.6最新版本，新版本已修复该漏洞。
2. 不随意点击陌生文件 ：不随意点击聊天记录中的陌生文件，尤其是来源不明的文档、图片等，关闭微信200mb自动下载功能。
3. 谨慎转发操作 ：谨慎进行聊天记录的转发操作，避免转发可疑内容。
4. 检查自启动项目 ：4.0.6以下版本，检查Windows自启动项目，未确认安全时，请不要重启电脑。

首先下载CE

地址：

安装后，先找到微信将需要修改的聊天记录对话框单独拖出来

打开Cheat Engine 选择一个进程打开

找到刚刚拖出的对话框，点击Open

选择搜索的类型为String

搜索要修改的内容，然后点击First Scan

点击Ctrl + A，全选搜索到的内容，再点击右下方红色箭头

然后全选下方内容，双击Value那一列内容，就可以修改了。

然后点击OK即可

关闭对话框，就可以看到原来聊天记录发生改变。

但实际上也只是改变了本机的聊天记录，手机端或服务端，对方的聊天记录是无法修改的。

复制聊天记录转发，转发的内容也会改变