11月24日消息,科技媒体BornCity昨日(11月23日)发布报告称,安全公司ZScaler于11月20日披露了一个存在于Windows 11 24H2系统中的高危漏洞。该漏洞的CVSS评分高达9.8分(满分10分),已被归类为最高风险级别。
根据报告披露的信息,这个被追踪为CVE-2025-50165的漏洞潜藏在Windows 11 24H2和Windows Server 2025操作系统的核心图形组件中,被微软评定为“严重”级别。其通用漏洞评分系统(CVSS)得分达到9.8分,接近满分,说明其潜在危害极其严重。

该漏洞的根源在于名为windowscodecs.dll的系统文件。这是一个负责处理图像编解码的动态链接库,被包括微软Office套件在内的众多应用程序广泛调用。
ZScaler的研究人员发现,该文件在解码特定JPEG图像时存在一处“不受信任的指针解引用”缺陷。攻击者可以利用这一缺陷,精心构造一张恶意的JPEG图像,并将其嵌入到Word文档、PPT演示文稿或任何调用该解码库的文件中。
整个攻击过程极具隐蔽性且无需用户交互。当受害者打开含有恶意JPEG图像的文件后,存在漏洞的windowscodecs.dll文件会被自动调用进行解码。
此时,预设的恶意代码便会被触发执行,从而使攻击者获得远程代码执行(RCE)权限。这意味着攻击者可以远程安装程序、窃取数据或完全接管用户的计算机,而整个过程对用户而言仅仅是打开了一张看似无害的图片。
微软在今年5月收到ZScaler的报告后,已于2025年8月发布了相应的安全补丁来解决这一高危漏洞。受影响的用户可以通过安装累积安全更新KB5063878或累积修补程序KB5064010来彻底封堵此安全风险。
尽管微软在修复之初表示,尚未发现该漏洞被黑客利用,并认为实际攻击的可能性较低,但鉴于其严重性,强烈建议所有使用相关系统的用户和管理员务必确认系统已安装2025年8月及之后的所有累积更新,以防范潜在威胁。
