Kritische Sicherheitslücke in Windows Graphics entdeckt
Eine kritische Sicherheitslücke in der Windows Graphics Component von Microsoft ermöglicht es Angreifern, mithilfe speziell gestalteter JPEG-Bilder die Kontrolle über Systeme zu übernehmen.
Mit einem CVSS-Score von 9,8 stellt diese Sicherheitslücke eine ernsthafte Bedrohung für Windows-Benutzer weltweit dar, da für ihre Ausnutzung keine Benutzerinteraktion erforderlich ist.
Das Problem wurde im Mai 2025 entdeckt und am 12. August 2025 von Microsoft behoben. Es beruht auf einer nicht vertrauenswürdigen Pointer-Dereferenzierung in der Bibliothek „windowscodecs.dll“ und betrifft zentrale Bildverarbeitungsfunktionen.
Angreifer können böswillige JPEG-Dateien in alltägliche Dateien wie Microsoft Office-Dokumente einbetten und so beim Öffnen oder Anzeigen der Datei unbemerkt Schaden anrichten.
Diese Schwachstelle verdeutlicht die anhaltenden Risiken bei der Verarbeitung älterer Grafiken, bei denen eine scheinbar harmlose Bilddekodierung zu einer vollständigen Übernahme des Systems führen kann. Da Windows auf Milliarden von Geräten läuft, sind nicht gepatchte Systeme weiterhin stark durch Phishing-Kampagnen oder Drive-by-Downloads gefährdet.
Dieses Problem mit nicht initialisierten Ressourcen ermöglicht die Ausführung von beliebigem Code ohne Berechtigungen, wodurch es über Netzwerke ausgenutzt werden kann. Microsoft bestätigte, dass die Schwachstelle die automatische Bildwiedergabe in Anwendungen beeinträchtigt, die auf die Grafikkomponente angewiesen sind.
Betroffene Versionen und Patches
Die Sicherheitslücke betrifft aktuelle Windows-Versionen, insbesondere solche, die anfällige Builds von windowscodecs.dll verwenden. Unternehmen müssen Updates priorisieren, um Risiken zu mindern, da die Ausnutzung mit anderen Angriffen für laterale Bewegungen in Netzwerken verknüpft werden könnte.
| Produkt | Betroffene Version | Gepatchte Version |
| Windows Server 2025 | 10.0.26100.4851 | 10.0.26100.4946 |
| Windows 11 Version 24H2 (x64) | 10.0.26100.4851 | 10.0.26100.4946 |
| Windows 11 Version 24H2 (ARM64) | 10.0.26100.4851 | 10.0.26100.4946 |
| Windows Server 2025 (Core) | 10.0.26100.4851 | 10.0.26100.4946 |
Die Ausnutzung von CVE-2025-50165 erfordert die Erstellung einer JPEG-Datei, die während der Dekodierung eine Pointer-Dereferenzierung auslöst, häufig über eingebettete Dateien in Office- oder Drittanbieter-Anwendungen.
Bei 64-Bit-Systemen umgehen Angreifer Control Flow Guard mithilfe von Return-Oriented Programming (ROP)-Ketten in gesprühten Heap-Blöcken der Größe 0x3ef7. Dadurch wird die Ausführung umgeleitet, indem mit VirtualAlloc ein Speicher zum Lesen, Schreiben und Ausführen erstellt und Shellcode für den dauerhaften Zugriff geladen wird.
Obwohl bisher keine Exploits in der Praxis gemeldet wurden, ist diese Sicherheitslücke aufgrund ihrer geringen Komplexität und ihrer großen Netzwerkreichweite ein bevorzugtes Ziel für Ransomware oder Spionage. CFG ist in 32-Bit-Versionen standardmäßig deaktiviert, was Angriffe auf ältere Setups erleichtert.
Benutzer sollten die Patch Tuesday-Updates vom August 2025 sofort über Windows Update installieren und dabei zuerst hochwertige Assets berücksichtigen. Deaktivieren Sie die automatische Grafikvorschau in E-Mail-Clients und erzwingen Sie Sandboxing für nicht vertrauenswürdige Dateien.
Dieser Vorfall unterstreicht die Gefahren von nicht gepatchten Grafikbibliotheken in Unternehmensumgebungen, in denen JPEGs in Arbeitsabläufen allgegenwärtig sind.
Da die Taktiken der Angreifer sich weiterentwickeln, bleibt das zeitnahe Patchen die stärkste Verteidigung gegen solche pixelgenauen Giftstoffe. Da bisher noch keine aktiven Exploits beobachtet wurden, können proaktive Maßnahmen weitreichende Schäden verhindern.