游乐游手机版
首页/科技数码/文章详情

Windows高危图形漏洞:一张图片即可导致系统被接管

时间:2025-11-21 13:53
该漏洞CVSS评分高达9 8分,且无需用户交互即可触发,对全球Windows用户构成严重威胁。 微软Windows图形组件中存在一个高危远程代码执行漏洞,攻击者可通过特制JPEG图片完全控制系统。该

该漏洞在CVSS评分体系中获得了9.8的高分,无需用户交互即可被触发,对全球Windows用户构成了严重威胁。

微软Windows图形组件中存在一个高危远程代码执行漏洞,攻击者能够通过构造恶意JPEG图片完全控制系统。该漏洞CVSS评分高达9.8分,且无需用户交互即可触发,对全球Windows用户构成了严重威胁。

漏洞详情

该漏洞于2025年5月被发现,微软在2025年8月12日发布了安全补丁。问题根源在于windowscodecs.dll库中的不可信指针解引用错误,影响了核心图像处理功能。攻击者可将恶意JPEG嵌入Microsoft Office文档等常见文件,当文件被打开或预览时即可实现静默入侵。

Zscaler ThreatLabz团队通过对Windows Imaging Component的定向模糊测试发现了这一漏洞,重点关注windowscodecs.dll中的JPEG编解码路径。漏洞利用入口位于GpReadOnlyMemoryStream::InitFile函数,攻击者通过操纵缓冲区大小来控制文件映射期间的内存快照。

影响范围与修复方案

利用机制与防护建议

要成功利用CVE-2025-50165漏洞,需要构造特殊JPEG文件,在解码过程中触发指针解引用。在64位系统环境下,攻击者通过大小为0x3ef7的堆喷射块中的ROP链绕过控制流防护(CFG),最终借助VirtualAlloc创建可读写执行内存并加载持久化shellcode。

尽管目前尚未发现野外利用案例,但由于该漏洞利用复杂度低、影响范围广,很可能成为勒索软件或间谍活动的理想目标。建议用户立即通过Windows Update安装2025年8月补丁,优先处理高价值资产,同时在邮件客户端禁用自动图片预览功能,并对不可信文件实施沙箱隔离。

来源:https://www.51cto.com/article/830127.html
上一篇U9 Xtreme横扫国内赛道:仰世超跑的最速量产秘籍 下一篇抖音严打售假羊绒羊毛,处置违规商家商品超440件
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5

电动汽车电池新国标7月实施热失控不起火不爆炸
科技数码 · 2026-07-01

电动汽车电池新国标7月实施热失控不起火不爆炸

自2026年7月1日起,两项关乎电动汽车安全的核心强制性国家标准将正式实施,为行业加装“安全锁”——《电动汽车安全要求》(GB 18384-2025)与《电动汽车用动力蓄电池安全要求》(GB 38031-2025)同步落地。此次标准升级,从整车架构与电池系统两大维度,精准填补了近年来多起事故暴露出的