MicrosoftのWindows Imaging Componentには重大なリモートコード実行の脆弱性が存在しますが、セキュリティ研究者の分析により、当初懸念されていたよりも悪用は大幅に困難であることが判明しました。
CVE-2025-50165として追跡されているこの欠陥は、PNG、GIF、JPGなどの標準的な画像形式を処理する中核ライブラリであるWindowsCodecs.dllに影響します。
Zscaler ThreatLabzは2025年11月にこの脆弱性を初めて文書化し、jpeg_finish_compress関数内の未初期化関数ポインタの問題として特定しました。
デコード中に発生する典型的な画像脆弱性とは異なり、この欠陥はJPG画像の圧縮または再エンコードの段階で特に発動します。この重要な違いにより、攻撃対象領域は根本的に変化します。
この脆弱性は、Windowsが従来の8ビット標準から外れた12ビットまたは16ビットの色精度を持つ非標準のJPG画像を処理しようとしたときに発動します。
圧縮中、システムは未初期化の関数ポインタを介してコードを実行しようとし、事実上、悪意ある命令で埋められ得る白紙の地図をたどることになります。
悪意ある画像をコンピューターで単に表示するだけでは、この脆弱性は発動しません。
脆弱なコードパスが発動するのは特定のシナリオに限られます。具体的には、ユーザーが画像を保存する場合、Microsoft Photosのようなアプリケーションがファイル エクスプローラー向けにサムネイル プレビューを作成する場合、またはWindows Imaging Componentがバックグラウンド タスクで画像を再エンコードする場合です。
悪用の成功には、細工されたJPGファイルだけでは不十分です。攻撃者には2つの重要な前提条件が必要です。システムメモリ内のデータの正確な位置を明らかにするアドレスリークと、コンピューターの一時メモリを操作できる能力である十分なヒープ制御です。
最新のWindowsには複数のセキュリティ保護策が実装されており、両条件を同時に満たすことは極めて困難です。
Microsoftは、未初期化だった関数ポインタを適切に初期化し、NULLポインタチェックを実装することで、CVE-2025-50165に対処するパッチをリリースしました。
セキュリティ研究者は、10.0.26100.4946より前のWindowsCodecs.dllの脆弱なバージョンに対して、利用可能な更新プログラムを適用するようユーザーに推奨しています。
「Critical(重大)」という深刻度評価は潜在的な影響を反映していますが、セキュリティ専門家の見解は明確です。システムレベルの操作に対する高度な技術的制御がなければ、現実的な悪用は起こりにくいままです。
翻訳元: https://cyberpress.org/windows-imaging-component-vulnerability/