已修复：9.8 分 Win11 高危漏洞被披露，黑客可借 JPEG 图片远程控制你的电脑

11 月 24 日消息，科技媒体 BornCity 昨日（11 月 23 日）发布博文，报道称安全公司 ZScaler 于 11 月 20 日披露存在于 Windows 1124H2 系统上的漏洞，该漏洞 CVSS 评分为 9.8（满分 10 分），属于最高风险级别。

援引博文介绍，该漏洞追踪编号为 CVE-2025-50165，潜藏在 Windows 11 24H2 及 Windows Server 2025 操作系统的核心图形组件中，被微软评定为“严重”级别，其通用漏洞评分系统（CVSS）的得分为 9.8，接近满分，意味着其潜在危害极大。

该漏洞的根源在于名为 windowscodecs.dll的系统文件。这是一个负责处理图像编解码的动态链接库，被包括微软 Office 套件在内的众多应用程序广泛调用。

ZScaler 的研究人员发现，该文件在解码特定 JPEG 图像时，存在一处“未受信任的指针解引用”缺陷。攻击者可以利用此缺陷，精心构造一个恶意的 JPEG 图像，并将其嵌入到 Word 文档、PPT 演示文稿或任何调用该解码库的文件中。

攻击过程极具隐蔽性且无需用户交互。当受害者打开含有恶意 JPEG 图像的文件后，存在漏洞的 windowscodecs.dll文件会被自动调用进行解码。

此时，预设的恶意代码便会被触发执行，从而让攻击者获得远程代码执行（RCE）权限。这意味着攻击者可以远程安装程序、窃取数据或完全接管用户的计算机，而整个过程对用户而言，仅仅是打开了一张看似无害的图片。

微软于今年 5 月收到 ZScaler 的报告后，已于 2025 年 8 月发布了相应的安全补丁来解决这一高危漏洞。受影响的用户可以通过安装累积安全更新 KB5063878 或累积修补程序 KB5064010 来彻底封堵此安全风险。

尽管微软在修复之初表示，尚未发现该漏洞被黑客利用，并认为实际攻击的可能性较低，但鉴于其严重性，强烈建议所有使用相关系统的用户和管理员，务必确认系统已安装 2025 年 8 月及之后的所有累积更新，以防范潜在威胁。