Коротко: 14 июля 2026 года Microsoft устранила CVE-2026-50380 — переполнение буфера в куче в компоненте Windows GDI+ (CVSS 9.6, «критическая»). При отрисовке специально сформированного файла-изображения EMF+ с вредоносной графической записью на компьютере может выполниться произвольный код. Активной эксплуатации на момент выхода патча не зафиксировано. Что делать: установить июльские обновления Windows и не открывать изображения из непроверенных источников.
Что произошло
14 июля 2026 года, в рамках ежемесячного «вторника патчей» (Patch Tuesday), Microsoft выпустила исправление для CVE-2026-50380 — уязвимости в Windows GDI+. Это встроенный в Windows графический движок (Graphics Device Interface Plus), который отвечает за отрисовку изображений, шрифтов и векторной графики. На GDI+ опираются десятки приложений: от офисных пакетов и просмотрщиков картинок до самой панели предпросмотра в «Проводнике».
По классификации Microsoft уязвимость получила статус «критической» с оценкой CVSS 9.6 — одной из самых высоких во всём июльском наборе. По данным аналитиков, это переполнение буфера в куче (heap-based buffer overflow, CWE-122): неаутентифицированный злоумышленник может добиться удалённого выполнения кода. Спусковым крючком служит специально подготовленный файл формата EMF+ (Enhanced Metafile Plus) — это векторный «метафайл» Windows, хранящий набор команд отрисовки, которые как раз и исполняет GDI+.
⚠
Почему оценка так высокаCVSS 9.6 — редкий уровень для файловой уязвимости. Дело в сочетании факторов: атака проходит по сети (файл легко доставить письмом или через сайт), не требует прав администратора и имеет низкую сложность. От пользователя нужно лишь одно действие — открыть или обработать заражённый файл.
Как файл-картинка выполняет код
Механика такой бреши общая и знакома по другим форматам: приложение неправильно обрабатывает специально сформированный файл, и в момент разбора его содержимого управление перехватывает вредоносный код. Здесь роль «ключа» играет изображение EMF+, которое разбирает и отрисовывает GDI+.
Внутри метафайла EMF+ хранятся отдельные графические записи (records). Одна из них может быть подделана так, что при отрисовке система неверно рассчитывает размер данных изображения и записывает за пределы выделенной памяти. Повреждение соседних структур в куче и открывает путь к выполнению произвольного кода. Иными словами, вредоносной становится не «программа», а сам файл-картинка.
!
Опасен сам файл, а не «взлом» системыЧтобы атака сработала, не нужны ни серверная брешь, ни права администратора — достаточно, чтобы GDI+ отрисовал заражённое изображение. Поскольку этот движок задействуется и при построении эскизов (thumbnails), часть подобных сценариев теоретически способна срабатывать даже при предпросмотре файла в «Проводнике» или в почтовом клиенте, без явного двойного клика.
Это ставит EMF+ в один ряд с уже знакомыми «файлами-ловушками». Раньше в этой роли чаще выступали архивы, документы и медиа — на днях мы разбирали похожий случай с видео в материале про критическую брешь в Windows Media Foundation. Теперь к списку добавляется и обычная на вид векторная картинка.
Не одна брешь: GDI+ и рекордный Patch Tuesday
CVE-2026-50380 — не единичный случай в графической подсистеме. В том же обновлении Microsoft закрыла и вторую RCE-уязвимость GDI+ — CVE-2026-49796 (оценка около CVSS 7.8): это тоже переполнение буфера в куче, но с локальным вектором, когда пользователю нужно открыть подготовленный файл на своём устройстве.
Оба исправления вышли в составе рекордного июльского Patch Tuesday: по разным подсчётам Microsoft закрыла от 569 до 622 уязвимостей — крупнейший ежемесячный набор за всю историю. В него вошли и три «нулевого дня» (0-day) — в Active Directory Federation Services, SharePoint и BitLocker. Важно: GDI+-бреши в число активно эксплуатируемых 0-day не входят — на момент выпуска патча Microsoft не сообщала об атаках через них, а публичного эксплойта не публиковалось. Общий контекст «вторника патчей» мы разбирали в материале про рекордные 570 уязвимостей и RCE в Office.
Скопление ошибок в одном компоненте — сигнал: разбор графики остаётся сложным и уязвимым местом Windows. GDI+ существует десятилетиями и обрабатывает множество форматов изображений, поэтому каждая такая находка потенциально затрагивает почти все актуальные версии системы.
Что это значит для работы с файлами и что делать
Главный практический вывод касается не только администраторов. Если вы открываете и пересылаете изображения на компьютере с Windows, установка обновлений напрямую влияет на то, безопасно ли просматривать очередную присланную картинку. Практические шаги:
- Установите июльские обновления Windows. Проверьте «Центр обновления Windows» — исправление GDI+ ставится штатным патчем и закрывает вектор атаки.
- Не открывайте изображения из непроверенных источников. «Неожиданная картинка» от незнакомца или странное вложение — повод сперва насторожиться, а не кликать по превью.
- Будьте внимательны к экзотическим форматам. EMF и EMF+ — не самые привычные расширения; файл с таким расширением, пришедший «просто посмотреть», стоит проверить заранее.
- Проверяйте подозрительные файлы антивирусом и онлайн-сканерами перед открытием — базовые правила собраны в разделе безопасность файлов.
- Если сомневаетесь в незнакомом расширении — сначала посмотрите, что это за формат и чем он открывается, в справочнике форматов файлов.
Этот случай — ещё одно подтверждение простого принципа: привычный на вид файл может оказаться точкой входа для атаки, а «безопасных» типов файлов не бывает. Своевременное обновление и здоровая настороженность к тому, что вы открываете, закрывают большинство подобных векторов ещё до того, как система отрисует картинку.
Источники