行业新闻与博客

微软发布修复程序后，Windows 图形设备接口 (GDI) 中一组此前未知的缺陷被揭露出来，这些缺陷可能导致远程代码执行和信息泄露。

这些问题涉及格式错误的增强型图元文件 (EMF) 和 EMF+ 记录，这些记录可能导致图像渲染过程中内存损坏。这些发现拓展了我们对与 Windows 图形处理相关的攻击面的理解。

在 2025 年 5 月、7 月和 8 月的“补丁星期二”更新中加入了三个漏洞之后，目前已对这三个漏洞进行了深入分析。

Windows 处理 GDI 操作时存在缺陷，尤其是在GdiPlus.dll和gdi32full.dll中，这两个程序负责处理矢量图形、文本和打印操作。

针对电磁场格式的模糊测试活动直接促成了这些发现。

揭露的三大缺陷

漏洞跟踪方式如下：

• CVE-2025-30388，被评为重要且更有可能被利用

• CVE-2025-53766，评级为严重，可实现远程代码执行

• CVE-2025-47984，评级为重要，且与信息泄露有关

这三者都涉及通过精心设计的元文件触发的越界内存访问。

其中一个缺陷是无效的矩形对象，攻击者可以利用这些对象在文本渲染期间影响内存写入。

另一个绕过了缩略图生成过程中的扫描线边界检查。

第三个问题是打印作业初始化中的字符串处理，当空终止假设失败时，会暴露堆数据。

攻击可能如何展开

精心制作的 EMF+ 文件可以操纵颜色和 alpha 值、堆分配行为和指针计算。 

Check Point Research (CPR) 证明，攻击者可以写入超出缓冲区限制的受控值或读取超出预期边界的内存，在某些情况下，攻击者可能在无需用户交互的情况下访问敏感信息或破坏系统。

研究人员表示：“我们在安全修复程序实施后发布这篇博客的目的是为了进一步提高人们对这些漏洞的认识，并为 Windows 用户提供防御性见解和缓解建议。”

微软补丁已发布

微软已解决 GdiPlus.dll版本 10.0.26100.3037 至 10.0.26100.4946 和gdi32full.dll版本 10.0.26100.4652 中的问题。

缓解措施包括对矩形数据进行新的验证检查、扫描线边界修剪以及修正打印处理例程中的指针运算。这些修复程序分别于 5 月通过 KB5058411、7 月通过 KB5062553、8 月通过 KB5063878 发布。

这项工作强调了与接受不可信内容的复杂图形管道相关的持续风险。

研究人员强调了主动修补漏洞和提高防御意识的重要性，并指出这些漏洞也影响了适用于 Mac 和 Android 的 Microsoft Office。