行業新聞與博客

微軟發佈修復程序後，Windows 圖形設備接口 (GDI) 中一組此前未知的缺陷被揭露出來，這些缺陷可能導致遠程代碼執行和信息泄露。

這些問題涉及格式錯誤的增強型圖元文件 (EMF) 和 EMF+ 記錄，這些記錄可能導致圖像渲染過程中內存損壞。這些發現拓展了我們對與 Windows 圖形處理相關的攻擊面的理解。

在 2025 年 5 月、7 月和 8 月的“補丁星期二”更新中加入了三個漏洞之後，目前已對這三個漏洞進行了深入分析。

Windows 處理 GDI 操作時存在缺陷，尤其是在GdiPlus.dll和gdi32full.dll中，這兩個程序負責處理矢量圖形、文本和打印操作。

針對電磁場格式的模糊測試活動直接促成了這些發現。

揭露的三大缺陷

漏洞跟蹤方式如下：

• CVE-2025-30388，被評為重要且更有可能被利用

• CVE-2025-53766，評級為嚴重，可實現遠程代碼執行

• CVE-2025-47984，評級為重要，且與信息泄露有關

這三者都涉及通過精心設計的元文件觸發的越界內存訪問。

其中一個缺陷是無效的矩形對象，攻擊者可以利用這些對象在文本渲染期間影響內存寫入。

另一個繞過了縮略圖生成過程中的掃描線邊界檢查。

第三個問題是打印作業初始化中的字符串處理，當空終止假設失敗時，會暴露堆數據。

攻擊可能如何展開

精心製作的 EMF+ 文件可以操縱顏色和 alpha 值、堆分配行為和指針計算。 

Check Point Research (CPR) 證明，攻擊者可以寫入超出緩衝區限制的受控值或讀取超出預期邊界的內存，在某些情況下，攻擊者可能在無需用户交互的情況下訪問敏感信息或破壞系統。

研究人員表示：“我們在安全修復程序實施後發佈這篇博客的目的是為了進一步提高人們對這些漏洞的認識，併為 Windows 用户提供防禦性見解和緩解建議。”

微軟補丁已發佈

微軟已解決 GdiPlus.dll版本 10.0.26100.3037 至 10.0.26100.4946 和gdi32full.dll版本 10.0.26100.4652 中的問題。

緩解措施包括對矩形數據進行新的驗證檢查、掃描線邊界修剪以及修正打印處理例程中的指針運算。這些修復程序分別於 5 月通過 KB5058411、7 月通過 KB5062553、8 月通過 KB5063878 發佈。

這項工作強調了與接受不可信內容的複雜圖形管道相關的持續風險。

研究人員強調了主動修補漏洞和提高防禦意識的重要性，並指出這些漏洞也影響了適用於 Mac 和 Android 的 Microsoft Office。