Windows GDI 缺陷允许远程攻击者执行任意代码

微软图形设备接口 (GDI) 存在多个漏洞，GDI 是 Windows 操作系统的核心组件，负责渲染图形。

Check Point 通过针对增强型元文件 (EMF) 格式的密集模糊测试活动发现了这些缺陷，这些缺陷可能使远程攻击者能够执行任意代码或窃取敏感数据。

这些问题已负责任地向微软披露，并在 2025 年的多个补丁日更新中得到修复，这凸显了传统图形处理中持续存在的风险。

这些漏洞源于对 EMF+ 记录的不当处理，这些记录用于 Microsoft Office 和 Web 浏览器等应用程序处理的文档和图像中。

攻击者可以利用这些漏洞，诱骗用户打开恶意文件，例如篡改过的 Word 文档或图像缩略图，从而在无需用户交互的情况下导致系统完全被攻破。

Check Point 在最近的一篇博客文章中详细分析了这些漏洞，强调了这些缺陷是如何由无效的矩形对象、缓冲区溢出和先前不完整的修复引起的，突显了保护深度嵌入式系统库所面临的挑战。

CVE-2025-30388，评级为重要，CVSS 评分为 8.8，涉及在处理 EmfPlusDrawString 和 EmfPlusFillRects 等记录期间的越界内存操作。

由格式错误的 EmfPlusSetTSClip 记录触发，攻击者可以读取或写入超出已分配堆缓冲区的内容，从而可能泄露数据或执行代码。

该漏洞会影响 Windows 10 和 11，以及 Mac 和 Android 版 Office，微软认为由于其可通过常见文件格式访问，因此“更容易被利用”。

最严重的漏洞CVE-2025-53766（严重，CVSS 9.8）允许通过 ScanOperation::AlphaDivide_sRGB 函数中的越界写入来执行远程代码。

攻击者通过构造包含超大矩形的 EmfPlusDrawRects 记录，可以使位图渲染中的扫描线缓冲区溢出，从而绕过缩略图生成中的边界。此方法无需任何权限，因此非常适合针对解析 EMF 文件的服务发起基于网络的攻击。

CVE-2025-47984（重要，CVSS 7.5）是一个信息泄露漏洞，利用了 EMR_STARTDOC 记录处理中长期存在的缺陷，该缺陷与 CVE-2022-35837 的不完整修复有关。

它会导致字符串长度计算中出现过度读取，从而暴露相邻的堆内存。这被归类为保护机制故障（CWE-693），可能会泄露系统机密信息，从而助长进一步的攻击。

缓解措施

微软在 GdiPlus.dll 和 gdi32full.dll 的更新中解决了这些问题，增加了对矩形、扫描线和偏移量的验证，以防止溢出。用户应立即应用补丁并启用自动更新。

Check Point 建议在不受信任的环境中禁用 EMF 渲染，使用沙盒查看器查看文档，并监控异常的图形处理。

这些发现是针对 Windows 内核图形进行模糊测试的一部分，揭示了文件解析中一些细微的错误如何能够逃避检测长达数年之久。随着远程办公和云服务的普及，此类漏洞对企业构成的威胁日益加剧。 Checkpoints官方漏洞分析: 《危险的诱惑：Windows图形漏洞导致远程代码执行和内存泄露》