CVE‑2025‑50165: Kritische Windows‑Schwachstelle in windowscodecs.dll ermöglicht Remote Code Execution

Eine entdeckte Schwachstelle in der Windows‑Grafikkomponente ermöglicht Angreifern die vollständige Übernahme betroffener Systeme – allein durch das Öffnen einer manipulierten Bilddatei. Die Lücke CVE‑2025‑50165 erreicht einen CVSS-Wert von 9,8 und betrifft zentrale Windows‑Komponenten, die in zahlreichen Anwendungen integriert sind. Unternehmen sollten umgehend handeln.

CVE‑2025‑50165: Was steckt hinter der Schwachstelle?

Im Mai 2025 identifizierte das Zscaler ThreatLabz eine kritische Sicherheitslücke in der Datei windowscodecs.dll, einem zentralen Bestandteil der Windows‑Grafikverarbeitung. Diese Bibliothek wird von zahlreichen Applikationen genutzt, darunter auch Microsoft Office und viele Drittanbieter‑Programme.

 Die Komponente verarbeitet bestimmte Bilddaten – insbesondere JPEG‑Dateien – unsicher. Wird ein speziell präpariertes Bild in einer betroffenen Anwendung geöffnet, kann dies zur Remote Code Execution (RCE) führen. Angreifer erhalten damit potenziell vollständige Kontrolle über das System des Opfers.

Angriffsszenario: Vom Bild zur Systemkompromittierung

Der Angriff kann auf überraschend einfache Weise ausgelöst werden:

• Ein Angreifer erstellt eine manipulierte Bilddatei (z. B. JPEG).

• Das Bild wird in ein Dokument oder eine Anwendung eingebettet, die windowscodecs.dll nutzt.

• Sobald das Opfer die Datei öffnet oder das Bild gerendert wird, wird die Sicherheitslücke aktiviert.

• In der Folge kann fremder Code im Kontext des Benutzers ausgeführt werden – ohne weitere Interaktion.

Besonders kritisch: Der Angriff lässt sich auch über E-Mail-Anhänge, Office-Dokumente oder Collaboration-Plattformen realisieren.

Technische Einordnung für Security-Teams

Aus Sicherheitssicht ist vor allem relevant:

• Die Schwachstelle basiert auf der unsicheren Verarbeitung von Zeigern im Speicher.

• In bestimmten Systemarchitekturen sind Schutzmechanismen wie Control Flow Guard (CFG) nicht standardmäßig aktiv.

• Dadurch wird es Angreifern erleichtert, den Programmfluss zu manipulieren und eigene Befehle auszuführen.

Für Verteidiger bedeutet das: Klassische Perimeter-Schutzmaßnahmen reichen nicht aus – der Angriff greift direkt auf Betriebssystemebene.

Proof-of-Concept (PoC) – Gefahr durch technische Machbarkeit

ThreatLabz demonstrierte die Schwachstelle mit einer Testanwendung, die kontrollierte Speicheroperationen und Bildverarbeitung kombiniert.
Ziel war es zu zeigen, wie über präparierte Bilddaten eine gezielte Manipulation des Laufzeitverhaltens möglich ist.

Wichtig: Obwohl derzeit kein Massen-Exploit öffentlich bekannt ist, zeigt der PoC, dass eine praktische Ausnutzung realistisch ist – gerade für gut ausgestattete Angreifergruppen.

Patch & betroffene Systeme

Microsoft veröffentlichte am 12. August 2025 ein Sicherheitsupdate zur Behebung von CVE‑2025‑50165.
Da die Windows-Grafikkomponente systemweit verwendet wird, betrifft die Lücke eine Vielzahl von Windows-Versionen und -Editionen.

Unternehmen wird dringend empfohlen:

• Alle sicherheitsrelevanten Updates zeitnah einzuspielen.

• Besonders Systeme mit veröffentlichten Services oder vielen Endanwendern priorisiert zu patchen.

• Zusätzlich Datei- und E-Mail-Filter auf verdächtige Bildformate zu überprüfen.

Product	Impacted Version	Patched Version
Windows Server 2025	10.0.26100.4851	10.0.26100.4946
Windows 11 Version 24H2 for x64-based Systems	10.0.26100.4851	10.0.26100.4946
Windows 11 Version 24H2 for ARM64-based Systems	10.0.26100.4851	10.0.26100.4946
Windows Server 2025 (Server Core installation)	10.0.26100.4851	10.0.26100.4946

Handlungsempfehlungen für Unternehmen

Security-Verantwortliche sollten jetzt folgende Maßnahmen umsetzen:

1. Patch-Management beschleunigen: Alle betroffenen Systeme aktualisieren.

2. Risk-based Priorisierung: Kritische Server und Client-Systeme bevorzugt absichern.

3. Email- & Content-Filter prüfen: Bilddateien in Anhängen restriktiver behandeln.

4. User Awareness stärken: Mitarbeitende für das Risiko von Bilddateien sensibilisieren.

5. EDR/AV-Regeln aktualisieren: Schutzmechanismen auf mögliche Exploit-Muster ausrichten.

Hohe Gefahr durch systemnahe Komponente

CVE‑2025‑50165 zählt zu den kritischsten Windows-Sicherheitslücken des Jahres. Da sie eine zentrale Grafikkomponente betrifft, sind Angriffsszenarien vielseitig und schwer frühzeitig erkennbar. Gerade für Unternehmen mit hohem Digitalisierungsgrad und vielen Endpunkten entsteht hier ein ernstzunehmendes Risiko.

Wer jetzt nicht patcht, setzt seine Infrastruktur potenziell einer vollständigen Kompromittierung aus.

Weiteres

 

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

Folgen Sie uns auf Mastodon

Hamsterrad Rebell – Cyber Talk