安全研究人员发现微信Windows客户端存在复合型安全漏洞，攻击者可利用该漏洞通过构造恶意文件，在用户查看聊天记录时触发远程代码执行，进而实现系统控制。漏洞主要由于客户端在自动下载文件时未严格校验路径，导致攻击者可借助目录穿越技术将恶意代码植入系统关键路径，实现开机自启动。该漏洞影响微信Windows客户端3.9及更早版本，建议用户及时更新至最新版本以防范风险。