CVE-2025-50165: RCE Nghiêm trọng & Bản vá bảo mật khẩn cấp

Phân tích toàn diện về lỗ hổng CVE-2025-50165, một lỗ hổng nghiêm trọng trong Windows Imaging Component (WIC) của Microsoft.

Lỗ hổng này có khả năng cho phép thực thi mã từ xa (remote code execution) thông qua các tệp JPEG được chế tạo đặc biệt.

Tuy nhiên, các phát hiện cho thấy nguy cơ khai thác trong thực tế thấp hơn đáng kể so với lo ngại ban đầu.

Phân tích kỹ thuật lỗ hổng CVE-2025-50165

Nguyên nhân của lỗ hổng bắt nguồn từ việc dereferencing một con trỏ hàm chưa được khởi tạo (uninitialized function pointer).

Quá trình này xảy ra trong quá trình nén và mã hóa lại JPEG, không phải trong quá trình giải mã hoặc hiển thị hình ảnh.

Cơ chế hoạt động và vị trí lỗ hổng

Phân tích nguyên nhân gốc rễ của ESET tiết lộ rằng lỗ hổng ảnh hưởng cụ thể đến các hình ảnh JPEG có độ sâu màu 12-bit hoặc 16-bit.

Lỗ hổng nằm trong thư viện WindowsCodecs.dll.

Đây là giao diện thư viện chính của Windows xử lý các định dạng hình ảnh tiêu chuẩn như JPEG, PNG, GIF và BMP.

Các con trỏ hàm dễ bị tổn thương là compress_data_12 và compress_data_16.

Chúng vẫn chưa được khởi tạo trong quá trình nén, dẫn đến sự cố khi các tệp JPEG có độ chính xác không tiêu chuẩn này được xử lý.

Điều kiện khai thác phức tạp

Trái ngược với các đánh giá ban đầu về tiềm năng khai thác hàng loạt, điều tra của ESET chỉ ra rằng việc khai thác thành công đòi hỏi một số điều kiện chính xác.

Đầu tiên, ứng dụng mục tiêu phải sử dụng phiên bản WindowsCodecs.dll dễ bị tổn thương.

Ứng dụng cũng phải cho phép mã hóa lại JPEG, không chỉ đơn thuần là xem.

Chỉ cần mở một tệp JPEG độc hại là không đủ để kích hoạt lỗ hổng CVE-2025-50165 này.

Đường dẫn mã dễ bị tổn thương chỉ được kích hoạt khi một ứng dụng mã hóa lại tệp JPEG 12-bit hoặc 16-bit.

Điều này có thể xảy ra trong quá trình tạo hình thu nhỏ hoặc các thao tác lưu hình ảnh thủ công.

Ngay cả khi đó, việc khai thác thành công đòi hỏi kẻ tấn công phải có thông tin rò rỉ địa chỉ (address-leakage).

Khả năng thao tác heap đáng kể là những điều kiện tiên quyết làm giảm đáng kể tính khả thi của các cuộc tấn công trong thế giới thực.

Để biết thêm chi tiết về nghiên cứu này, bạn có thể tham khảo bài viết từ ESET Research: Revisiting CVE-2025-50165: A critical flaw in Windows Imaging Component.

Ảnh hưởng và các phiên bản dễ bị tổn thương

Microsoft đã phát hành các bản vá bảo mật để khắc phục các con trỏ hàm chưa được khởi tạo.

Các bản vá này phù hợp với các bản sửa lỗi đã được triển khai trước đó trong libjpeg-turbo phiên bản 3.1.1.

Các phiên bản được vá đã khởi tạo đúng cách các con trỏ này và triển khai các kiểm tra NULL trước khi dereferencing chúng.

Người dùng đang chạy các phiên bản WindowsCodecs.dll từ 10.0.26100.0 đến 10.0.26100.4945 vẫn dễ bị tổn thương bởi lỗ hổng CVE-2025-50165.

Khuyến nghị và biện pháp phòng ngừa

Mặc dù lỗ hổng CVE-2025-50165 có mức độ nghiêm trọng critical, nhưng các phát hiện của ESET đã xác thực đánh giá của Microsoft.

Khả năng khai thác thực tế vẫn khó xảy ra do các điều kiện tiên quyết cụ thể được yêu cầu.

Tuy nhiên, các tổ chức cần ưu tiên vá các hệ thống dễ bị tổn thương, đặc biệt là những hệ thống xử lý các tệp hình ảnh không đáng tin cậy.

Nghiên cứu nhấn mạnh sự cần thiết phải giữ cho các thư viện của bên thứ ba được cập nhật.

Đồng thời, cần triển khai xác thực đầu vào hiệu quả cho các hoạt động xử lý hình ảnh.

Lỗ hổng Windows Imaging Component này vẫn có thể dẫn đến các cuộc tấn công remote code execution trong các kịch bản tấn công phức tạp.