Uma vulnerabilidade crítica (pontuação CVSS 9.8) no Windows Graphics Component permite que invasores controlem sistemas, basta que a vítima abra ou apenas visualize uma imagem JPEG especialmente manipulada.
O bug relacionado à biblioteca windowscodecs.dll, presente nas versões recentes do Windows 10, 11 e Server 2025, com risco aumentado por dispensar interação do usuário para exploração.
Como funciona o ataque
O problema decorre da dereferência de ponteiros não confiável durante o processamento JPEG, o ataque manipula buffers para tomar controle da memória, por meio de arquivos embutidos em documentos Office ou enviados por e-mail.
Pesquisadores da Zscaler e Check Point detalharam que o exploit ocorre por meio de funções internas no processo de decodificação de imagens, viabilizando a execução de código arbitrário com alto privilégio.
Exploração prática e PoC
Na exploração prática, os atacantes podem criar JPEGs com metadados maliciosos que manipulam o heap para executar shellcode, inclusive por técnicas de spray de memória e ROP (Return-Oriented Programming) em sistemas de 64 bits.
Em configurações antigas (32 bits), o ataque é facilitado pela ausência do Control Flow Guard.
Versões afetadas e atualizadas
| Produto | Versão Impactada | Versão Corrigida |
| Servidor Windows 2025 | 10.0.26100.4851 | 10.0.26100.4946 |
| Janelas 11 24H2 (x64) | 10.0.26100.4851 | 10.0.26100.4946 |
| Janelas 11 24H2 (ARM64) | 10.0.26100.4851 | 10.0.26100.4946 |
A Microsoft corrigiu o problema no Patch Tuesday de agosto de 2025. As atualizações devem ser aplicadas imediatamente, especialmente em ativos críticos e servidores.
Recomendações de proteção
- Aplique os patches de agosto de 2025 via Windows Update.
- Desativar pré-visualização automática de imagens em clientes de e-mail.
- Utilização sandbox para arquivos e monitoramento de processamento gráfico de documentos suspeitos.
- Manter sistemas gráficos e bibliotecas continuamente atualizados.
Apesar de não haver exploits ativos observados, o potencial para ataques em escala — especialmente por ransomware e espionagem — exige resposta proativa e reforço das práticas de atualização.
