IT之家 11 月 24 日消息,科技媒体 BornCity 昨日(11 月 23 日)发布博文,报道称安全公司 ZScaler 于 11 月 20 日披露存在于 Windows 11 24H2 系统上的漏洞,该漏洞 CVSS 评分为 9.8(满分 10 分),属于最高风险级别。
IT之家援引博文介绍,该漏洞追踪编号为 CVE-2025-50165,潜藏在 Windows 11 24H2 及 Windows Server 2025 操作系统的核心图形组件中,被微软评定为“严重”级别,其通用漏洞评分系统(CVSS)的得分为 9.8,接近满分,意味着其潜在危害极大。
该漏洞的根源在于名为windowscodecs.dll的系统文件。这是一个负责处理图像编解码的动态链接库,被包括微软 Office 套件在内的众多应用程序广泛调用。
ZScaler 的研究人员发现,该文件在解码特定 JPEG 图像时,存在一处“未受信任的指针解引用”缺陷。攻击者可以利用此缺陷,精心构造一个恶意的 JPEG 图像,并将其嵌入到 Word 文档、PPT 演示文稿或任何调用该解码库的文件中。
攻击过程极具隐蔽性且无需用户交互。当受害者打开含有恶意 JPEG 图像的文件后,存在漏洞的windowscodecs.dll文件会被自动调用进行解码。
此时,预设的恶意代码便会被触发执行,从而让攻击者获得远程代码执行(RCE)权限。这意味着攻击者可以远程安装程序、窃取数据或完全接管用户的计算机,而整个过程对用户而言,仅仅是打开了一张看似无害的图片。
微软于今年 5 月收到 ZScaler 的报告后,已于 2025 年 8 月发布了相应的安全补丁来解决这一高危漏洞。受影响的用户可以通过安装累积安全更新 KB5063878 或累积修补程序 KB5064010 来彻底封堵此安全风险。
尽管微软在修复之初表示,尚未发现该漏洞被黑客利用,并认为实际攻击的可能性较低,但鉴于其严重性,强烈建议所有使用相关系统的用户和管理员,务必确认系统已安装 2025 年 8 月及之后的所有累积更新,以防范潜在威胁。
广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。