Podatność typu heap-based buffer overflow w komponencie graficznym systemu Microsoft Windows umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu. Krytyczny wynik CVSS 9.8 oraz brak wymagań uwierzytelnienia czynią tę podatność szczególnie niebezpieczną dla ekspozycji sieciowej.
▸ Pokaż oryginał (EN)
Heap-based buffer overflow in Microsoft Graphics Component allows an unauthorized attacker to execute code over a network.
Błąd polega na przepełnieniu bufora na stercie (heap-based buffer overflow, CWE-122) w Microsoft Graphics Component. Atakujący może wysłać specjalnie spreparowane dane przez sieć, powodując zapis danych poza granicami przydzielonego bufora. Skutkiem nadpisania pamięci może być przejęcie kontroli nad przepływem wykonania procesu i uruchomienie dowolnego kodu.
Nieuwierzytelniony atakujący działający zdalnie przez sieć może wykonać dowolny kod na podatnym systemie, co może prowadzić do pełnego przejęcia kontroli nad serwerem lub stacją roboczą, naruszenia poufności, integralności i dostępności systemu.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60724). Do czasu instalacji aktualizacji zaleca się ograniczenie ekspozycji sieciowej podatnych systemów oraz monitorowanie ruchu sieciowego kierowanego do komponentów graficznych.
Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025, Microsoft Windows 10 22H2
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HMicrosoft Office
APPMicrosoft< 16.0.19426.20044Microsoft Office Long Term Servicing Channel
APPMicrosoft20212024Microsoft Windows 10 1607
OSMicrosoft< 10.0.14393.8594Microsoft Windows 10 1809
OSMicrosoft< 10.0.17763.8027Microsoft Windows 10 21h2
OSMicrosoft< 10.0.19044.6575Microsoft Windows 10 22h2
OSMicrosoft< 10.0.19045.6575Microsoft Windows 11 23h2
OSMicrosoft< 10.0.22631.6199Microsoft Windows 11 24h2
OSMicrosoft< 10.0.26100.7092Microsoft Windows 11 25h2
OSMicrosoft< 10.0.26200.7092Microsoft Windows Server 2008
OSMicrosoftr2Microsoft Windows Server 2012
OSMicrosoftr2Microsoft Windows Server 2016
OSMicrosoft< 10.0.14393.8594Microsoft Windows Server 2019
OSMicrosoft< 10.0.17763.8027Microsoft Windows Server 2022
OSMicrosoft< 10.0.20348.4346Microsoft Windows Server 2022 23h2
OSMicrosoft< 10.0.25398.1965Microsoft Windows Server 2025
OSMicrosoft< 10.0.26100.7092
Powiązane podatności
RCE w Windows Server Update Service (WSUS) — deserializacja danych
RCE w Microsoft Outlook — podatność MonikerLink (CVE-2024-21413)
Microsoft Outlook Elevation of Privilege Vulnerability
A remote code execution vulnerability exists in Windows Domain Name System servers when they fail to properly ...
A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly val...