Zaktualizuj Windowsa. Wydano sierpniowe poprawki

Na samym szczycie listy znajduje się podatność CVE-2025-53766, dotycząca składnika GDI+. Podsystem GDI jest jednym z najstarszych mechanizmów Windows, zaprojektowanym w czasach w których nie przejmowano się nadmiernie bezpieczeństwem. Systemy nie były spięte w sieć, a moc obliczeniowa była zbyt niska by umożliwić skomplikowane ataki. Dlatego GDI odziedziczył wiele wątpliwych decyzji projektowych, z których wynika szereg podatności.

Zazwyczaj jednak ataki GDI to ataki lokalne, a Microsoft klasyfikuje je jako "sieciowe" (i ocenia jako bardzo groźne) zupełnie na wyrost, naginając definicje. CVE-2025-53766 jest oznaczone jako możliwe do wykorzystania przez sieć - ale czy słusznie? Okazuje się, że tak! Tym razem uzasadnienie dla takiej klasyfikacji jest całkiem sensowne... choć dla rzadkich scenariuszy.

Dalsza część artykułu pod materiałem wideo

O ile dla przeciętnego użytkownika luka w GDI istotnie jest lokalna, to ponieważ problem dotyczy obsługi formatów metafile, może prowadzić do wykonania kodu na prawach serwera - jeżeli na komputerze pracuje web-serwer do którego można ładować pliki metafile. Notatka nie zawiera więcej informacji dotyczących formatu. Nie jest więc jasne, czy problem dotyczy wyłącznie plików WMF/EMF, czy także innych, nowszych formatów, ogólnie nazywanych metaplikami.

Drugi problem z obsługą grafiki, CVE-2025-50165, jeszcze bardziej zadaje kłam hipotezie "nie da się przenosić wirusów w plikach graficznych". Dotyczy bowiem plików JPEG! Format okazuje się być dekodowany przez Microsoft Graphics Component tak nieprawidłowo, że pozwala na wykonanie kodu. Nowoczesne kodeki mają być już teoretycznie niepodatne na taki rodzaj problemów, ze względu na nowe funkcje języków i kompilatorów oraz inżynierię oprogramowania stosującą nowe praktyki bezpieczeństwa.

Tymczasem problem z JPEG dotyczy wyłącznie najnowszej wersji Windows! CVE-2025-50165 wymagało naprawy wyłącznie w najnowszym Windows 11 i Windows Server 2025, podczas gdy dziura w GDI dotyczy wszystkich wersji Windows (prawdopodobnie także tych już nieobsługiwanych). Oznacza to, że coś poszło bardzo źle. Jest to podatność charakterystyczna dla roku 2005, ale dwadzieścia lat później wygląda bardzo osobliwie i nie nastraja optymistycznie.

To, rzecz jasna, nie wszystkie dziury łatane w tym miesiącu. Sierpniowe poprawki to kolejne z rzędu, naprawiające usługi RDP, RRAS i MSMQ, domyślnie wyłączone na komputerach klienckich i oparte na bardzo starej implementacji. Są one najwyraźniej najeżone podatnoścami, a miesiące poprawek nie wprowadzają żadnych zmian projektowych, a nie jedynie łatki ad hoc. Ponownie - nie są to optymistyczne wieści.

Poprawka dla Windows 11, po wstępnym przytyciu do ponad 4GB, obecnie waży "tylko" 3055MB. To dalej sporo. Dla porównania, poprawka do ostatniego Windows 10 zajmuje 721MB. Nie wiadomo jeszcze, czy zintegrowanie AI z nadchodzącą wersją Windows 11 25H2 sprawi, że rozmiar poprawek dalej się zmniejszy. Możliwe, że nie - ale całkiem prawdopodobne jest na przykład, że aktualizacje przestaną wymagać restartów. Już teraz działa to dla niektórych klientów korporacyjnych.