如果您在Windows上使用WhatsApp Desktop，请注意！WhatsApp for Windows中存在一个漏洞(CVE-2025-30401)，攻击者可以利用该漏洞将恶意文件伪装成安全文件。请更新至2.2450.6或更高版本以确保安全。

Facebook Security最近发布的安全公告强调了影响Windows版WhatsApp的欺骗漏洞（编号为CVE-2025-30401）。该漏洞可能允许黑客向不知情的用户发送恶意附件。这些文件乍一看似乎无害，但如果在WhatsApp应用程序中打开，则可能会运行恶意代码。

此漏洞影响2.2450.6之前的所有版本，对经常通过WhatsApp for Windows与文件附件交互的用户构成重大风险。对于不关心技术细节的用户来说，问题始于WhatsApp for Windows工作方式的奇怪不匹配。

WhatsApp会根据附件的MIME类型向用户显示附件，例如图片或文档。但是，当他们在WhatsApp中点击打开附件时，应用程序会根据文件的扩展名（例如.jpg或.exe）来选择要启动的程序，而不是根据文件的名称。

假设有人向您发送了一个名为“image.jpg.exe”的文件，WhatsApp可能会将其显示为图片，因为MIME类型表明它是图像。但是，如果您在应用内点击打开它，WhatsApp会注意到“.exe”结尾并将其像实际程序一样打开。这意味着看似无害的文件最终可能会运行恶意代码，而用户却没有意识到有什么问题。

移动安全解决方案提供商Zimperium首席科学家Nico Chiaraviglio指出，此漏洞凸显了一个更大的问题：附件仍然是坏人传播病毒、间谍软件和其他恶意内容的一种极为常见的方式。

Chiaraviglio建议采用分层防御策略来降低此类风险。这包括附件扫描以检测潜在有害文件、行为分析以识别可疑活动，以及用户教育以提高对打开未经请求的文件附件的危险性的认识。

“此漏洞凸显了一个适用于所有平台的更广泛问题：附件仍然是传递恶意内容的最常见载体之一。虽然此特定案例涉及适用于Windows的WhatsApp，但移动平台也未能幸免，”Chiaraviglio解释道。

“攻击者经常利用文件附件绕过用户信任，传播恶意软件、网络钓鱼负载或利用漏洞。安全团队应采用分层防御策略，包括附件扫描、行为分析和桌面和移动环境中的用户教育，”他建议道。

好消息是WhatsApp已经修复了这个问题。如果您在Windows上使用WhatsApp Desktop，请确保您使用的是2.2450.6或更高版本。如果不是，请立即更新！