Investigadores de ESET han llevado a cabo un análisis detallado de la vulnerabilidad CVE-2025-50165, que afecta a Windows y permite la ejecución remota de código simplemente abriendo un archivo JPG especialmente diseñado, uno de los formatos de imagen más utilizados. La falla fue descubierta y documentada por Zscaler ThreatLabz, quien la clasificó como crítica, aunque con una explotación considerada como menos probable. El análisis de la causa raíz realizado por ESET logró identificar la ubicación exacta del código defectuoso y reproducir el fallo, sugiriendo que el escenario de explotación es más complicado de lo que inicialmente podría parecer.
CVE-2025-50165 reside en la biblioteca WindowsCodecs.dll, que gestiona la mayoría de los formatos de archivo de imagen comunes. La vulnerabilidad surge de la desreferenciación de un puntero de función no inicializado durante el proceso de compresión y codificación de imágenes JPG. En este contexto, los investigadores se preguntaron cuáles son las condiciones exactas para que se produzca esta desreferenciación y por qué el puntero de función no estaba inicializado.
El análisis reveló que la falla se produce cuando se intenta codificar una imagen JPG de 12 bits. Al investigar el código de la biblioteca vulnerable, se concluyó que el problema principal radica en la gestión de imágenes JPG con un valor de precisión diferente al estándar de 8 bits, lo que crea dos rutas de código vulnerables. Sin embargo, abrir un archivo de imagen malicioso no desencadenará la vulnerabilidad por sí mismo; esta solo ocurre si el archivo se guarda o si una aplicación de host, como Microsoft Photos, intenta crear miniaturas de las imágenes.
Los investigadores también examinaron los parches aplicados y encontraron que el archivo DLL afectado no inicializaba correctamente ciertos punteros, lo que podría provocar fallos durante el proceso de compresión. Aunque el riesgo de explotación existe, se considera relativamente bajo, dado que se requiere un control significativo sobre la aplicación para llevar a cabo un ataque exitoso.
En conclusión, a pesar de ser un formato de imagen antiguo y popular, la investigación muestra que todavía pueden surgir vulnerabilidades en ciertos códecs. Este estudio pone de relieve la importancia de mantener actualizadas las bibliotecas de seguridad, al tiempo que ofrece respuestas claras sobre la naturaleza de la vulnerabilidad y sus posibles formas de explotación. La versión más reciente de WindowsCodecs.dll parece haber implementado cambios efectivamente que abordan la falta de inicialización y verificación de punteros de función.
Fuente: WeLiveSecurity by eSet.
