CRITICAL✓ PATCH🇬🇧 English

CVE-2025-60724

Heap buffer overflow w Microsoft Graphics Component — zdalne wykonanie kodu

CVSS 9.8v3.1pub. 2025-11-11upd. 2025-11-17

Podatność typu heap-based buffer overflow w komponencie graficznym systemu Microsoft Windows umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie kodu. Krytyczny wynik CVSS 9.8 oraz brak wymagań uwierzytelnienia czynią tę podatność szczególnie niebezpieczną dla ekspozycji sieciowej.

Pokaż oryginał (EN)

Heap-based buffer overflow in Microsoft Graphics Component allows an unauthorized attacker to execute code over a network.

🤖 Analiza AI
Jak działa

Błąd polega na przepełnieniu bufora na stercie (heap-based buffer overflow, CWE-122) w Microsoft Graphics Component. Atakujący może wysłać specjalnie spreparowane dane przez sieć, powodując zapis danych poza granicami przydzielonego bufora. Skutkiem nadpisania pamięci może być przejęcie kontroli nad przepływem wykonania procesu i uruchomienie dowolnego kodu.

Skutki

Nieuwierzytelniony atakujący działający zdalnie przez sieć może wykonać dowolny kod na podatnym systemie, co może prowadzić do pełnego przejęcia kontroli nad serwerem lub stacją roboczą, naruszenia poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-60724). Do czasu instalacji aktualizacji zaleca się ograniczenie ekspozycji sieciowej podatnych systemów oraz monitorowanie ruchu sieciowego kierowanego do komponentów graficznych.

Kogo dotyczy

Microsoft Windows Server 2016, Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025, Microsoft Windows 10 22H2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Microsoft Office

    APP
    Microsoft
    < 16.0.19426.20044
  • Microsoft Office Long Term Servicing Channel

    APP
    Microsoft
    20212024
  • Microsoft Windows 10 1607

    OS
    Microsoft
    < 10.0.14393.8594
  • Microsoft Windows 10 1809

    OS
    Microsoft
    < 10.0.17763.8027
  • Microsoft Windows 10 21h2

    OS
    Microsoft
    < 10.0.19044.6575
  • Microsoft Windows 10 22h2

    OS
    Microsoft
    < 10.0.19045.6575
  • Microsoft Windows 11 23h2

    OS
    Microsoft
    < 10.0.22631.6199
  • Microsoft Windows 11 24h2

    OS
    Microsoft
    < 10.0.26100.7092
  • Microsoft Windows 11 25h2

    OS
    Microsoft
    < 10.0.26200.7092
  • Microsoft Windows Server 2008

    OS
    Microsoft
    r2
  • Microsoft Windows Server 2012

    OS
    Microsoft
    r2
  • Microsoft Windows Server 2016

    OS
    Microsoft
    < 10.0.14393.8594
  • Microsoft Windows Server 2019

    OS
    Microsoft
    < 10.0.17763.8027
  • Microsoft Windows Server 2022

    OS
    Microsoft
    < 10.0.20348.4346
  • Microsoft Windows Server 2022 23h2

    OS
    Microsoft
    < 10.0.25398.1965
  • Microsoft Windows Server 2025

    OS
    Microsoft
    < 10.0.26100.7092
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
Memory
CWE
Referencje

Powiązane podatności

CVE-2025-59287CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE w Windows Server Update Service (WSUS) — deserializacja danych

CVE-2024-21413CRITICAL9.8⚠ KEVPL ✓ten sam produkt

RCE w Microsoft Outlook — podatność MonikerLink (CVE-2024-21413)

CVE-2023-23397CRITICAL9.8⚠ KEVten sam produkt

Microsoft Outlook Elevation of Privilege Vulnerability

CVE-2020-1350CRITICAL10.0⚠ KEVten sam produkt

A remote code execution vulnerability exists in Windows Domain Name System servers when they fail to properly ...

CVE-2020-1040CRITICAL9.0⚠ KEVten sam produkt

A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly val...