ESET araştırmacıları, en yaygın görüntü formatlarından biri olan JPG’nin özel olarak hazırlanmış bir örneğini kullanarak, uzaktan kod yürütme imkânı sağlayan kritik Windows güvenlik açığı CVE-2025-50165’i analiz etti. Zscaler ThreatLabz tarafından bulunan ve belgelenen bu güvenlik açığı, Microsoft tarafından Ağustos ayında düzeltildi. ESET’in kök neden analizi, hatalı kodun tam yerininin belirlenmesini ve çökmenin yeniden oluşturulmasını sağladı. Sonuçlar sömürü senaryosunun göründüğünden daha zor olduğunu ortaya koyuyor.
Güvenlik açığını araştıran ESET araştırmacısı Romain Dumont şöyle dedi:
“WindowsCodecs.dll, 12 bit veya 16 bit veri hassasiyetiyle bir JPG görüntüsünü kodlamaya çalışırken çöküyor. Microsoft bu güvenlik açığını kritik olarak sınıflandırmış olsa da derinlemesine yapılan analiz büyük ölçekli istismarın son derece olası olmadığını gösteriyor. Özel olarak hazırlanmış bir görüntüyü açmak, yani kodunu çözmek ve görüntülemek, bu güvenlik açığını tetiklemez. Ancak görüntü kaydedildiğinde veya Microsoft Photos uygulaması gibi bir ana uygulama görüntülerin küçük resimlerini oluşturduğunda güvenlik açığı bulunan jpeg_finish_compress işlevi çağrılabilir.”
CVE-2025-50165, JPG görüntüsü kod çözme sürecinde değil, kodlama ve sıkıştırma sürecinde bir kusur. ESET, basit bir 12 bit veya 16 bit JPG görüntüsü kullanarak çökmeyi yeniden üretmek için kendi yöntemini ve ilk yayımlanan yamanın incelemesini sundu. Araştırma, güvenlik açığı bulunan bileşenin, Aralık 2024’te benzer sorunların tespit edilip çözüldüğü açık kaynaklı libjpeg-turbo kütüphanesini kullandığını ortaya çıkardı.
JPG, eski ve yaygın olarak kullanılan; otomatik yazılım testlerinde belki de en popüler dijital görüntü formatı olmasına rağmen bazı kodeklerde hâlâ güvenlik açıkları bulunabilir. CVE-2025-50165 ile ilgili bu ESET Araştırma çalışması, üçüncü taraf kütüphaneleri kullanırken güvenlik güncellemelerini takip etmenin önemini de vurguluyor. WindowsCodecs.dll bir kütüphane olduğundan bir ana uygulama JPG görüntülerinin (yeniden) kodlanmasına izin veriyorsa güvenlik açığına sahip kabul edilir ve yalnızca saldırganın uygulama üzerinde yeterli kontrole sahip olması durumunda (adres sızıntısı, yığın manipülasyonu) istismar edilebilir.
Kaynak : 