CRITICAL✓ PATCH🇬🇧 English

CVE-2025-50165

RCE w Microsoft Graphics Component – dereferencja niezaufanego wskaźnika

CVSS 9.8v3.1pub. 2025-08-12upd. 2025-08-14

Krytyczna podatność w komponencie graficznym systemu Windows umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu (RCE) przez sieć. Brak wymagań dotyczących uprawnień lub interakcji użytkownika czyni tę podatność szczególnie niebezpieczną.

Pokaż oryginał (EN)

Untrusted pointer dereference in Microsoft Graphics Component allows an unauthorized attacker to execute code over a network.

🤖 Analiza AI
Jak działa

Podatność opiera się na dereferencji niezaufanego wskaźnika (untrusted pointer dereference, CWE-822) w połączeniu z użyciem niezainicjowanej pamięci (CWE-908) w Microsoft Graphics Component. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe przez sieć, które powodują, że komponent graficzny odczytuje lub wykonuje kod spod wskaźnika kontrolowanego przez atakującego. Brak konieczności uwierzytelnienia oraz interakcji po stronie ofiary pozwala na pełne zdalne wykorzystanie podatności bez żadnych wstępnych warunków dostępu.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu w kontekście dotkniętego systemu, co może prowadzić do pełnego przejęcia kontroli nad systemem, naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Szczegóły aktualizacji dostępne są w Microsoft Security Response Center pod adresem: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-50165

Kogo dotyczy

Microsoft Windows 11 24H2 oraz Microsoft Windows Server 2025

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Microsoft Windows 11 24h2

    OS
    Microsoft
    < 10.0.26100.4851
  • Microsoft Windows Server 2025

    OS
    Microsoft
    < 10.0.26100.4851
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2025-59287CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE w Windows Server Update Service (WSUS) — deserializacja danych

CVE-2026-42904CRITICAL9.6PL ✓ten sam produkt

Heap buffer overflow w Windows TCP/IP umożliwia privilege escalation przez sieć

CVE-2026-45602CRITICAL9.1PL ✓ten sam produkt

Podatność typu tampering w Windows DHCP Server umożliwia nieautoryzowaną modyfikację danych

CVE-2026-44815CRITICAL9.8PL ✓ten sam produkt

Stack-based buffer overflow w Windows DHCP Client — zdalne wykonanie kodu

CVE-2026-45657CRITICAL9.8PL ✓ten sam produkt

Use-after-free w Windows Kernel umożliwiające zdalne wykonanie kodu