Eine Sicherheitslücke mit dem Prädikat „kritisch“, ein allgegenwärtiges Dateiformat und die Aussicht auf Schadcode allein durch das Öffnen eines Bildes – die Schwachstelle CVE-2025-50165 klang zunächst nach einem klassischen Worst-Case-Szenario. Tatsächlich zeigt eine genauere Analyse jedoch ein deutlich differenzierteres Bild.

Die Lücke betrifft die Windows Imaging Component (WIC), eine zentrale Windows-Bibliothek, die für die Verarbeitung gängiger Bildformate wie JPG, PNG oder GIF zuständig ist. Entdeckt wurde sie von Zscaler ThreatLabz. Microsoft stufte die Schwachstelle als kritisch ein, bewertete die Wahrscheinlichkeit einer Ausnutzung jedoch bereits als eher gering. Genau dieser Widerspruch war für ESET Research Anlass, den Fall genauer zu untersuchen.

Im Kern geht es um einen Fehler in der Verarbeitung bestimmter JPG-Dateien mit ungewöhnlicher Farbtiefe. Anders als bei vielen früheren Bilddatei-Schwachstellen liegt das Problem nicht beim Anzeigen oder Dekodieren eines Bildes. Stattdessen tritt der Fehler erst dann auf, wenn Windows versucht, ein entsprechendes Bild neu zu kodieren oder zu komprimieren – etwa beim Speichern oder beim Erstellen von Vorschaubildern.

Das hat eine entscheidende Konsequenz:
Das bloße Öffnen oder Betrachten eines manipulierten JPGs reicht nicht aus, um die Schwachstelle auszulösen.

ESET-Forscher konnten den Absturz reproduzieren und die Ursache präzise eingrenzen. Betroffen sind JPG-Dateien mit einer Farbtiefe von 12 oder 16 Bit. In diesen Fällen greift Windows intern auf nicht korrekt initialisierte Funktionszeiger zurück, was zum Absturz der betroffenen Anwendung führen kann.

Damit ein solcher Fehler jedoch tatsächlich sicherheitsrelevant ausgenutzt werden kann, müssen mehrere Bedingungen gleichzeitig erfüllt sein. Unter anderem:

  • Die verwendete Anwendung muss eine verwundbare Version der Windows Imaging Component einsetzen

  • Sie muss das Bild nicht nur anzeigen, sondern erneut verarbeiten oder speichern

  • Angreifer benötigen zusätzliche Informationen über den Speicheraufbau (z. B. Adresslecks) sowie Möglichkeiten zur gezielten Heap-Manipulation

Diese Kombination macht eine Ausnutzung in der Praxis deutlich komplexer, als es die ursprüngliche Beschreibung vermuten ließ. Entsprechend kommt ESET Research zu einer ähnlichen Einschätzung wie Microsoft: Ein massenhafter, realistisch durchführbarer Angriff ist eher unwahrscheinlich.

Interessant ist der Fall dennoch – auch aus grundsätzlicher Perspektive. Die betroffene Windows-Komponente greift auf die Open-Source-Bibliothek libjpeg-turbo zurück. Dort wurden vergleichbare Probleme bereits Ende 2024 behoben. Der Vorfall unterstreicht damit einmal mehr, wie wichtig es ist, auch bei etablierten Drittbibliotheken zeitnah Sicherheitsupdates zu übernehmen.

JPG gehört zu den ältesten und am weitesten verbreiteten Bildformaten überhaupt – und ist zugleich eines der am intensivsten getesteten. Dass dennoch neue Schwachstellen auftauchen, zeigt: Selbst scheinbar ausgereifte Technologien bleiben ein lohnendes Ziel für Sicherheitsforschung.

Eine ausführliche technische Analyse, inklusive Root-Cause-Analyse, Patch-Vergleich und Einordnung der Exploitierbarkeit, haben wir im englischsprachigen Originalartikel „Revisiting CVE-2025-50165: A critical flaw in Windows Imaging Component“ auf WeLiveSecurity veröffentlicht.