据2月13日消息，阿里安全实验室和潘多拉实验室近日发现微信存在严重风险漏洞。攻击者只需发送一条消息，即可完全克隆受害者的微信账号和聊天记录，并实现对微信钱包支付的控制和私人信息的窃取，阿里安全实验室立即将漏洞信息报告给国家相关部门，同时报告给腾讯。

漏洞克隆微信账号控制演示图

2月12日，腾讯微信团队通过公众号“微信拍”发推文承认该漏洞的存在，并表示已于2月9日紧急更新了该漏洞的版本，提醒微信用户升级至6.6.3版本尽快地。文章还对阿里巴巴安全团队及时提交和报告漏洞表示感谢。

漏洞攻击演示视频显示，微信受害者收到并点击攻击者发给他的链接消息后，他的账号会在毫无察觉的情况下被攻击者克隆，所有历史聊天记录都会被窃取。攻击者甚至还可以同时从克隆帐户接收新消息。值得注意的是，持有大量资金的微信支付也未能幸免，会被克隆账户控制完成购买。

根据阿里安全实验室的研究，微信漏洞是一个影响范围非常广泛的目录遍历漏洞。除微信刚刚紧急发布的最新版本6.6.3外，之前的微信版本均受到影响。该漏洞本身虽然简单，但风险却非常严重。因为它可以远程执行任意代码，所以理论上它可以做任何事情。除了视频中演示的克隆微信之外，攻击者还可以完全控制受害者的微信程序。

微信发文表示漏洞已修复并感谢阿里安全

“微信的聊天记录包含了大量的用户隐私，而微信支付又关系到我们的财产安全，所以这是一个非常严重的安全问题。如果首先被黑行为者利用，将会对人们的隐私和财产安全造成严重损害。阿里安全高级安全专家亨特表示，阿里安全实验室发现该漏洞后，第一时间向国家相关部门和腾讯通报了漏洞信息。

微信于2月1日正式发布6.6.2版本，2月7日收到阿里巴巴及国家相关部门的漏洞信息后，于2月9日连夜修复该漏洞，并紧急发布6.6.3版本。

发现微信重大漏洞的阿里巴巴安全猎户实验室和潘多拉实验室一直致力于系统安全研究和打击黑灰产品。他们在保护阿里巴巴业务的同时，向苹果、谷歌、华为等知名厂商提交了多份报告。错误并获得信誉。

亨特表示，随着春节临近，大家互相发红包、贺电已经成为常态。在此，阿里安全提醒大家尽快将微信升级到最新版本，并谨慎点击陌生人发送的文件和小程序，保护自己的隐私。和财产安全。

（作者/关艺文）