Новости · Безопасность файлов

Одна картинка — и код уже чужой: критическая брешь в Windows GDI+

В июльском наборе обновлений Microsoft закрыла уязвимость, которая напрямую касается любого, кто открывает и просматривает изображения на Windows. Речь о CVE-2026-50380 — ошибке в системном компоненте GDI+, из-за которой безобидный на вид файл-картинка формата EMF+ способен выполнить на компьютере чужой код прямо в момент отрисовки. Разбираем, что произошло, какие файлы под угрозой и что делать.

19 июля 2026 Редакция LoadFile Чтение 5 мин
Иконка файла-изображения внутри трескающегося синего щита, рассыпающаяся на красные блоки кода — уязвимость Windows GDI+

Коротко: 14 июля 2026 года Microsoft устранила CVE-2026-50380 — переполнение буфера в куче в компоненте Windows GDI+ (CVSS 9.6, «критическая»). При отрисовке специально сформированного файла-изображения EMF+ с вредоносной графической записью на компьютере может выполниться произвольный код. Активной эксплуатации на момент выхода патча не зафиксировано. Что делать: установить июльские обновления Windows и не открывать изображения из непроверенных источников.

Что произошло

14 июля 2026 года, в рамках ежемесячного «вторника патчей» (Patch Tuesday), Microsoft выпустила исправление для CVE-2026-50380 — уязвимости в Windows GDI+. Это встроенный в Windows графический движок (Graphics Device Interface Plus), который отвечает за отрисовку изображений, шрифтов и векторной графики. На GDI+ опираются десятки приложений: от офисных пакетов и просмотрщиков картинок до самой панели предпросмотра в «Проводнике».

По классификации Microsoft уязвимость получила статус «критической» с оценкой CVSS 9.6 — одной из самых высоких во всём июльском наборе. По данным аналитиков, это переполнение буфера в куче (heap-based buffer overflow, CWE-122): неаутентифицированный злоумышленник может добиться удалённого выполнения кода. Спусковым крючком служит специально подготовленный файл формата EMF+ (Enhanced Metafile Plus) — это векторный «метафайл» Windows, хранящий набор команд отрисовки, которые как раз и исполняет GDI+.

Почему оценка так высока

CVSS 9.6 — редкий уровень для файловой уязвимости. Дело в сочетании факторов: атака проходит по сети (файл легко доставить письмом или через сайт), не требует прав администратора и имеет низкую сложность. От пользователя нужно лишь одно действие — открыть или обработать заражённый файл.

Как файл-картинка выполняет код

Механика такой бреши общая и знакома по другим форматам: приложение неправильно обрабатывает специально сформированный файл, и в момент разбора его содержимого управление перехватывает вредоносный код. Здесь роль «ключа» играет изображение EMF+, которое разбирает и отрисовывает GDI+.

Внутри метафайла EMF+ хранятся отдельные графические записи (records). Одна из них может быть подделана так, что при отрисовке система неверно рассчитывает размер данных изображения и записывает за пределы выделенной памяти. Повреждение соседних структур в куче и открывает путь к выполнению произвольного кода. Иными словами, вредоносной становится не «программа», а сам файл-картинка.

!
Опасен сам файл, а не «взлом» системы

Чтобы атака сработала, не нужны ни серверная брешь, ни права администратора — достаточно, чтобы GDI+ отрисовал заражённое изображение. Поскольку этот движок задействуется и при построении эскизов (thumbnails), часть подобных сценариев теоретически способна срабатывать даже при предпросмотре файла в «Проводнике» или в почтовом клиенте, без явного двойного клика.

Это ставит EMF+ в один ряд с уже знакомыми «файлами-ловушками». Раньше в этой роли чаще выступали архивы, документы и медиа — на днях мы разбирали похожий случай с видео в материале про критическую брешь в Windows Media Foundation. Теперь к списку добавляется и обычная на вид векторная картинка.

Не одна брешь: GDI+ и рекордный Patch Tuesday

CVE-2026-50380 — не единичный случай в графической подсистеме. В том же обновлении Microsoft закрыла и вторую RCE-уязвимость GDI+ — CVE-2026-49796 (оценка около CVSS 7.8): это тоже переполнение буфера в куче, но с локальным вектором, когда пользователю нужно открыть подготовленный файл на своём устройстве.

Оба исправления вышли в составе рекордного июльского Patch Tuesday: по разным подсчётам Microsoft закрыла от 569 до 622 уязвимостей — крупнейший ежемесячный набор за всю историю. В него вошли и три «нулевого дня» (0-day) — в Active Directory Federation Services, SharePoint и BitLocker. Важно: GDI+-бреши в число активно эксплуатируемых 0-day не входят — на момент выпуска патча Microsoft не сообщала об атаках через них, а публичного эксплойта не публиковалось. Общий контекст «вторника патчей» мы разбирали в материале про рекордные 570 уязвимостей и RCE в Office.

Скопление ошибок в одном компоненте — сигнал: разбор графики остаётся сложным и уязвимым местом Windows. GDI+ существует десятилетиями и обрабатывает множество форматов изображений, поэтому каждая такая находка потенциально затрагивает почти все актуальные версии системы.

Что это значит для работы с файлами и что делать

Главный практический вывод касается не только администраторов. Если вы открываете и пересылаете изображения на компьютере с Windows, установка обновлений напрямую влияет на то, безопасно ли просматривать очередную присланную картинку. Практические шаги:

  1. Установите июльские обновления Windows. Проверьте «Центр обновления Windows» — исправление GDI+ ставится штатным патчем и закрывает вектор атаки.
  2. Не открывайте изображения из непроверенных источников. «Неожиданная картинка» от незнакомца или странное вложение — повод сперва насторожиться, а не кликать по превью.
  3. Будьте внимательны к экзотическим форматам. EMF и EMF+ — не самые привычные расширения; файл с таким расширением, пришедший «просто посмотреть», стоит проверить заранее.
  4. Проверяйте подозрительные файлы антивирусом и онлайн-сканерами перед открытием — базовые правила собраны в разделе безопасность файлов.
  5. Если сомневаетесь в незнакомом расширении — сначала посмотрите, что это за формат и чем он открывается, в справочнике форматов файлов.

Этот случай — ещё одно подтверждение простого принципа: привычный на вид файл может оказаться точкой входа для атаки, а «безопасных» типов файлов не бывает. Своевременное обновление и здоровая настороженность к тому, что вы открываете, закрывают большинство подобных векторов ещё до того, как система отрисует картинку.

Источники

Читайте также