雞年最后幾天，微信破天荒推送了一則漏洞修復文章。

雷鋒網(wǎng)消息，微信官方公眾號微信派2月12日對外推文承認漏洞存在，并表示已于2月9日針對該漏洞緊急進行了版本更新，用戶可盡快升級至6.63版。當然，沒有升級微信版本的用戶也不必擔心，微信團隊已第一時間對可能存在的惡意攻擊，在服務(wù)端后臺進行了攔截。換句話說，不管怎樣，你的微信都是安全的。

圍觀群眾紛紛露出八卦臉，要知道坐擁8億多用戶的微信此前也多次被曝出漏洞問題。如2014年，有白帽子稱，只需向用戶發(fā)送一個公眾號文章鏈接，截取其中的key信息，然后就可拼接掃碼登錄確認頁請求，從而完美劫持、登錄他人微信賬號。此后，微信也曾出現(xiàn)“兩位數(shù)字+15個句號”的bug及朋友圈漏洞等事件。

為何只有這一漏洞受到了官方推文的“特殊優(yōu)待”？只有一個解釋，該漏洞影響極大。

受到了“特殊優(yōu)待”的bug

漏洞提交方阿里安全實驗室表示，此次微信的漏洞是一個目錄遍歷型漏洞，影響范圍非常廣，除了微信剛剛緊急發(fā)布的6.6.3版本，之前所有的安卓版本都受影響。

雷鋒網(wǎng)了解到，雖然該漏洞本身很簡單，但風險危害十分巨大，因為可以遠程任意代碼執(zhí)行，所以理論上能做到任何事。  比如克隆微信，只需發(fā)一條消息就可以完整克隆受害者的微信賬號，并實現(xiàn)微信錢包支付和竊取隱私信息的操控。

具體來說，微信受害者接收點擊一條鏈接消息后，會在完全無感知的情況下被攻擊者克隆賬戶，歷史聊天記錄也會被悉數(shù)竊取，攻擊者甚至還能同步接收克隆賬戶的新消息。值得注意的是，放著大量資金的微信支付也未能幸免，都會被克隆賬號操控并完成購物。

              ▲漏洞克隆微信操控賬號演示圖

除此之外，攻擊者還可以完全控制受害者的微信程序，把受害者變成自己手中的“提線木偶”。

春節(jié)將至，謹慎點擊

事實上，2月1日微信才正式發(fā)布6.6.2版本，2月7日收到阿里和國家相關(guān)部門通報的漏洞信息后，于2月9日連夜修復漏洞并緊急發(fā)出版6.6.3版。要知道微信慣例是在新舊兩個版本間隔一月之久，此次更新提前足以看出漏洞潛在的風險之大。

“微信的聊天記錄中包含了用戶的諸多隱私，而微信支付關(guān)乎到我們的財產(chǎn)安全，所以這是一個非常嚴重的安全問題，如果被黑產(chǎn)搶先利用，會給民眾的隱私和財產(chǎn)安全造成重大威脅。”阿里安全資深安全專家杭特表示。

春節(jié)將至，大家互相發(fā)紅包和賀詞已成為常態(tài)，杭特提醒大家應(yīng)盡快升級微信到最新版本，同時謹慎點擊陌生人發(fā)來的文件和小程序，保護好自己的隱私和財產(chǎn)安全。

雷鋒網(wǎng)宅客頻道，專注先鋒科技領(lǐng)域，講述黑客背后的故事。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。