🪲 **GDI 漏洞曝光，攻击面扩大**：三个此前未被发现的 Windows 图形设备接口（GDI）漏洞已被披露，这些漏洞与格式异常的增强型图元文件（EMF）和 EMF+ 记录有关，攻击者可利用这些漏洞执行远程代码或窃取敏感信息，进一步暴露了 Windows 图形处理的攻击面。

🔍 **漏洞根源与影响**：这些漏洞存在于 Windows 处理 GDI 操作的流程中，主要涉及 GdiPlus.dll 和 gdi32full.dll 文件。通过对 EMF 格式进行模糊测试，研究人员发现它们通过构造特定图元文件，触发“越界内存访问”，具体表现为影响文本渲染内存写入、绕过缩略图生成扫描线边界检查，以及在打印作业初始化时泄露堆内存数据。

🛡️ **微软已发布修复，用户需及时更新**：微软已在 2025 年 5 月、7 月和 8 月的“周二补丁日”更新中发布了针对这些漏洞的修复程序，包括 KB5058411、KB5062553 和 KB5063878。用户应及时安装这些补丁，并保持警惕，尤其是在处理不受信任的图形内容时，以确保系统安全。这些漏洞还可能影响 Mac 和 Android 平台的微软 Office 软件。

HackerNews 编译，转载请注明出处：

微软发布修复程序后，一组此前未被发现的 Windows 图形设备接口（GDI）漏洞得以曝光。这些漏洞可被用于远程代码执行与信息泄露。

漏洞与格式异常的增强型图元文件（EMF）及 EMF + 记录相关，会在图像渲染过程中导致内存损坏。该发现进一步揭示了 Windows 图形处理相关的攻击面范围。

这三个漏洞已在 2025 年 5 月、7 月、8 月的 “周二补丁日” 更新中被纳入修复，目前已完成深度分析。

漏洞存在于 Windows 对 GDI 操作的处理流程中，尤其涉及负责处理矢量图形、文本及打印操作的 GdiPlus.dll 和 gdi32full.dll 文件。研究人员通过针对 EMF 格式的模糊测试（fuzzing），直接发现了这些漏洞。

已发现的三个漏洞

这些漏洞的追踪编号及评级如下：

CVE-2025-30388：评级 “重要”，被利用可能性较高CVE-2025-53766：评级 “严重”，可实现远程代码执行CVE-2025-47984：评级 “重要”，与信息泄露相关

三个漏洞均通过构造特定图元文件，触发 “越界内存访问” 问题：

其中一个漏洞源于无效矩形对象，攻击者可借此影响文本渲染过程中的内存写入操作另一个漏洞会在缩略图生成时绕过扫描线边界检查第三个漏洞与打印作业初始化阶段的字符串处理有关，当 “空终止” 假设不成立时，会泄露堆内存数据

攻击可能的实施方式

特制的 EMF + 文件可操纵颜色、透明度（alpha）数值、堆内存分配行为及指针计算。

Check Point 研究团队（CPR）证实，攻击者可通过该漏洞写入超出缓冲区限制的受控值，或读取超出预期范围的内存数据。在部分场景下，甚至无需用户交互，就能获取敏感信息或破坏系统安全。

研究人员表示：“我们在安全修复程序发布后发布此博文，旨在进一步提升公众对这些漏洞的认知，并为 Windows 用户提供防御思路与缓解建议。”

延伸阅读：《Windows 漏洞相关报道：Windows 10 终止支持临近，仍有大量用户未升级》

微软已发布补丁

微软针对以下文件版本修复了上述漏洞：

GdiPlus.dll：10.0.26100.3037 至 10.0.26100.4946 版本gdi32full.dll：10.0.26100.4652 版本

缓解措施包括：为矩形数据新增验证检查、对扫描线边界进行裁剪、修正打印处理程序中的指针运算。修复程序通过以下更新推送：5 月的 KB5058411、7 月的 KB5062553、8 月的 KB5063878。

此次事件凸显，接受不可信内容的复杂图形处理流程仍存在持续风险。研究人员强调，用户需主动安装补丁并提高防御意识，同时指出这些漏洞还影响了 Mac 和 Android 平台的微软 Office 软件。

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文