Os investigadores da ESET examinaram o CVE-2025-50165, uma vulnerabilidade grave do Windows que, teoricamente, permite a execução remota de código ao abrir um ficheiro JPEG especialmente criado – um dos formatos de imagem mais populares. A análise da causa raiz da ESET identifica a localização exata do código defeituoso e reproduz a falha. No entanto, a ESET Research acredita que o cenário de exploração é mais difícil do que parece. A falha foi encontrada e documentada pela Zscaler ThreatLabz e já foi corrigida pela Microsoft em agosto.
“O WindowsCodecs.dll trava ao tentar codificar uma imagem JPEG com precisão de dados de 12 ou 16 bits. Embora a Microsoft tenha classificado essa vulnerabilidade como crítica, a nossa análise aprofundada indica que uma exploração em grande escala é altamente improvável”, afirma Romain Dumont, investigador da ESET que investigou a vulnerabilidade. “Simplesmente abrir e, portanto, descodificar e renderizar uma imagem especialmente criada não acionará a vulnerabilidade. No entanto, a função vulnerável jpeg_finish_compress pode ser chamada se a imagem for salva ou se uma aplicação host, como o programa Microsoft Photos, criar miniaturas das imagens”, explica Dumont.
CVE-2025-50165 é uma falha no processo de codificação e compressão de uma imagem JPEG, não na sua descodificação. A ESET fornece o seu próprio método para reproduzir a falha usando uma imagem JPEG simples de 12 ou 16 bits, bem como uma análise do patch inicial lançado. Além disso, a investigação revelou que o componente vulnerável usa a biblioteca de código aberto libjpeg-turbo, na qual problemas semelhantes foram encontrados e resolvidos em dezembro de 2024.
Embora o JPEG seja mais antigo, amplamente utilizado e talvez o formato de imagem digital mais popular em testes automatizados de software, ainda é possível encontrar vulnerabilidades em alguns codecs.
Este estudo da ESET Research sobre o CVE-2025-50165 também destaca a importância de manter as atualizações de segurança em dia ao usar bibliotecas de terceiros. Como o WindowsCodecs.dll é uma biblioteca, uma aplicação host seria considerada vulnerável se permitisse que imagens JPEG fossem (re)codificadas e exploráveis apenas se um invasor tivesse controlo suficiente sobre a aplicação.
