Windows-GDI: Fatale Sicherheitslücken durch Bilddateien entdeckt
03.11.2025 - 13:21:42Drei schwerwiegende Sicherheitslücken in Windows GDI ermöglichen komplette Systemübernahme durch Betrachten präparierter Bilddateien. Microsoft hat Patches bereitgestellt, doch ungeschützte Systeme sind gefährdet.
Einfaches Öffnen manipulierter Bilder reicht für komplette Systemübernahme. Check Point-Forscher veröffentlichen brisante Details zu drei kritischen Windows-Schwachstellen – Millionen Nutzer betroffen.
Eine neue Analyse der Windows-Grafikkomponente offenbart erschreckende Sicherheitslücken: Cyberkriminelle können die komplette Kontrolle über Windows-Systeme übernehmen, wenn Nutzer lediglich eine präparierte Bilddatei betrachten. Check Point Research veröffentlichte am Wochenende Details zu drei schwerwiegenden Schwachstellen in der Windows Graphics Device Interface (GDI).
Obwohl Microsoft bereits Patches bereitstellte, sorgt die Veröffentlichung der technischen Details für neue Brisanz. Sicherheitsexperten warnen: Angreifer können diese Forschungsergebnisse nun nutzen, um Exploits gegen ungeschützte Systeme zu entwickeln. Betroffen sind Windows 10, Windows 11 und Microsoft Office-Anwendungen.
Kritische Schwachstelle ermöglicht Code-Ausführung
Die gefährlichste Lücke trägt die Bezeichnung CVE-2025-53766 und erhielt den kritischen CVSS-Wert von 9,8 von 10 Punkten. Diese Schwachstelle ermöglicht Remote Code Execution durch fehlerhafte Speicherzugriffe beim Rendern von Bildern.
Besonders perfide: Angreifer können manipulierte Enhanced Metafile (EMF)-Bilder in Dokumente einbetten oder auf Webseiten platzieren. Öffnet ein Nutzer die Datei oder besucht die Seite, aktiviert sich der Exploit automatisch – ohne weitere Nutzerinteraktion. Das macht die Lücke ideal für netzwerkbasierte Angriffe auf Dienste, die Bildvorschauen automatisch verarbeiten.
Die beiden weiteren Schwachstellen sind ebenfalls brisant:
CVE-2025-30388 (CVSS 8,8) erlaubt durch fehlerhafte Clipping-Verarbeitung Speichermanipulationen, die zu Datenlecks oder Code-Ausführung führen können. Microsoft stufte diese Lücke als “wahrscheinlich ausnutzbar” ein.
CVE-2025-47984 (CVSS 7,5) entpuppt sich als unvollständig behobene Schwachstelle aus 2022. Angreifer können sensible Speicherinhalte auslesen und damit Sicherheitsmechanismen wie die Adressraumrandomisierung umgehen.
Alltägliche Dateien werden zur Falle
Die Angriffsmethode ist erschreckend simpel: Cyberkriminelle verstecken manipulierte EMF-Dateien in Word-Dokumenten oder auf Webseiten. Das bloße Öffnen des Dokuments oder der Besuch der Seite kann ausreichen – besonders bei Anwendungen mit automatischer Bildvorschau.
Die Schwachstellen entstehen durch grundlegende Speicherfehler wie Pufferüberläufe, die historisch komplexe Legacy-Systeme wie die GDI plagen. Kein Wunder also, dass diese Komponente regelmäßig ins Visier von Sicherheitsforschern gerät.
Anzeige: Passend zum Thema Windows-Sicherheit: Wenn Schadsoftware zuschlägt oder Windows nach einem Angriff nicht mehr startet, hilft ein startfähiger USB‑Stick. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie einen Windows‑11‑Boot‑Stick erstellen und ihn für Reparaturen oder eine saubere Neuinstallation richtig einsetzen – ideal auch für Einsteiger. Halten Sie den Notfall‑Stick griffbereit, bevor es kritisch wird. Jetzt kostenlosen Boot‑Stick‑Guide sichern
Patches verfügbar – aber Eile geboten
Diese Zero-Day-Lücken sind bereits geschlossen. Microsoft veröffentlichte nach verantwortungsvoller Offenlegung durch Check Point entsprechende Updates:
- CVE-2025-30388: Mai 2025 Security Update (KB5058411)
- CVE-2025-53766: August 2025 Security Update (KB5063878)
Doch die Veröffentlichung der technischen Details verändert die Bedrohungslage dramatisch. Was bisher nur Sicherheitsexperten vorbehalten war, steht jetzt potentiell auch Cyberkriminellen zur Verfügung. Ungeschützte Systeme sind einem deutlich höheren Risiko ausgesetzt.
GDI bleibt Dauerziel der Hacker
Die Windows Graphics Device Interface verwaltet grafische Objekte und deren Ausgabe an Monitore und Drucker. Ihre Allgegenwart und Komplexität machen sie zum bevorzugten Angriffsziel.
Check Point entdeckte die Schwachstellen durch “Fuzzing” – automatisierte Tests mit ungültigen Daten zur Fehlersuche. Dass eine der Lücken auf einem unvollständig behobenen Problem aus 2022 basiert, zeigt die Herausforderung beim Absichern jahrzehntealter Windows-Komponenten.
Der Wettlauf zwischen Systemadministratoren und Cyberkriminellen hat begonnen. Höchste Priorität haben jetzt die Sicherheitsupdates vom Mai und August 2025. Die detaillierten Forschungsergebnisse senken die Einstiegshürde für Angreifer erheblich – ungeschützte Systeme sollten daher umgehend aktualisiert werden.
