พบช่องโหว่อันตรายบน Windows GDI เปิดช่องให้แฮกเกอร์ยิงโค้ดฝังมัลแวร์ผ่าน RCE

ช่องโหว่ความปลอดภัยบน Windows 11 นั้นเรียกได้ว่ามีการตรวจพบช่องโหว่ใหม่ ๆ อยู่เป็นประจำ และส่วนมากนั้นก็มักจะเป็นช่องโหว่ที่เปิดโอกาสให้แฮกเกอร์สามารถรันโค้ดจากระยะไกล RCE หรือ Remote Code Execution เพื่อเข้าควบคุมระบบ หรือติดตั้งมัลแวร์ได้ สำหรับช่องโหว่ล่าสุดนี้ก็เช่นเดียวกัน

จากรายงานโดยเว็บไซต์ Cyber Security News ได้กล่าวถึงการตรวจพบช่องโหว่ความปลอดภัยในส่วนของ GDI หรือ Graphic Device Interface ซึ่งเป็นช่องโหว่ในการทำการประมวลผล หรือ Render กราฟิกต่าง ๆ บนระบบ Windows ซึ่งช่องโหว่นี้ถูกตรวจพบโดยทีมวิจัยจาก Check Point บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ด้วยการใช้วิธีการทดสอบหาข้อผิดพลาดจากการทำการป้อนข้อมูลแบบสุ่ม หรือ Fuzzing บนไฟล์แบบ EMF หรือ Enhanced Metafile จนนำไปสู่การตรวจพบช่องโหว่ความปลอดภัยรหัส CVE-2025-30388 ที่มีคะแนนความรุนแรง หรือ CVSS Score ที่สูงถึง 8.8 หรือ หมายความว่าเป็นช่องโหว่ที่มีความร้ายแรงสูงมาก

สำหรับข้อมูลของช่องโหว่ดังกล่าวนั้น ตัวช่องโหว่เกิดขึ้นจากการจัดการไฟล์รูปแบบ EMF อย่างไม่เรียบร้อย โดยเป็นช่องโหว่ประเภทการทำงานของหน่วยความจำแบบเกินขอบเขตที่กำหนดไว้ หรือ (Out-of-Bound Memory Operation) ระหว่างการประมวลผลข้อมูลที่ถูกบันทึกไว้บนไฟล์ประเภทดังกล่าว เช่น ข้อมูลจำพวก EmfPlusDrawString และ EmfPlusFillRects โดยความผิดพลาดดังกล่าวนั้นจะเกิดขึ้นเมื่อมีการใช้งานข้อมูล EmfPlusSetTSClip ที่ผิดรูป (Malformed) เปิดทางให้แฮกเกอร์สามารถเขียน หรือ อ่านข้อมูลนอกขอบข่ายของหน่วยความจำ Heap Buffer นำไปสู่การทำ RCE ได้ ซึ่งช่องโหว่นี้จะครอบคลุมระบบปฏิบัติการทั้ง Windows 10 และ Windows 11 นอกจากนั้นยังครอบคลุมถึงซอฟต์แวร์ Office สำหรับ macOS และ Android อีกด้วย 

นอกจากนั้นยังมีการตรวจพบช่องโหว่ที่ร้ายแรงอีก 2 ตัวในเวลาเดียวกัน ซึ่งตัวแรกนั้นคือ ช่องโหว่รหัส CVE-2025-53766 ที่มีคะแนนความร้ายแรงที่สูงยิ่งกว่าตัวก่อน อยู่ที่ 9.8 เลยทีเดียว และช่องโหว่นี้ก็เป็นช่องโหว่ประเภท Out-of-Bound เช่นเดียวกัน โดยจะเกิดขึ้นในส่วนของฟังก์ชัน ScanOperation::AlphaDivide_sRGB ซึ่งช่องโหว่จะถูกเปิดขึ้นเมื่อมีการใช้งานข้อมูล EmfPlusDrawRects ที่มีข้อมูลรูปทรงเรขาคณิตแบบ 4 เหลี่ยมผืนผ้า (Rectangle) ที่ขนาดใหญ่เกินปกติ (Oversized) ทำให้ความผิดพลาดของปริมาณข้อมูลที่ล้นเกินในส่วนของหน่วยความจำ Scan-Line Buffers ที่ถูกใช้งานระหว่างการประมวลผล Bitmap จนทะลุขอบเขตระหว่างการสร้างภาพย่อ หรือ Thumbnail ทำให้แฮกเกอร์สามารถเขียนข้อมูลในส่วนที่เกินหน่วยความจำที่เกิดขึ้นได้ และที่สำคัญคือ การใช้ช่องโหว่นี้ไม่จำเป็นต้องพึ่งพาสิทธิ์ในการเข้าถึงระบบในระดับสูงแค่อย่างใด ซึ่งช่องโหว่นี้จะครอบคลุมระบบปฏิบัติการ Windows 10 และ 11

ภาพจาก : https://cybersecuritynews.com/windows-graphics-rce-vulnerabilities/

อีกช่องโหว่หนึ่งนั้นเป็นช่องโหว่ที่อันตรายร้ายแรงน้อยกว่า เป็นช่องโหว่ที่มีรหัสว่า CVE-2025-47984 ที่มีคะแนนความอันตรายที่ 7.5 ซึ่งช่องโหว่นี้เป็นช่องโหว่ประเภท “เปิดเผยข้อมูล” หรือ Information Disclosure ที่เกิดจากการจัดการข้อมูลในส่วนของ EMR_STARTDOC ที่ผิดพลาด จนเกิดการค่าการคำนวณความยาวของค่าสตริง (String Length Calculations) ที่มากเกินไป (Over-read) ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลส่วนของ Heap Memory ได้

ข่าวดีคือ หลังช่องโหว่เหล่านี้ถูกตรวจพบ ทางกลุ่มผู้ตรวจพบก็ได้ทำการแจ้งทางไมโครซอฟท์ และทางไมโครซอฟท์ก็ได้ทำการออกแพทช์เพื่ออัปเดตไฟล์ที่เกี่ยวข้องอย่าง GdiPlus.dll และ gdi32full.dll เป็นที่เรียบร้อยแล้ว ใครที่ไม่เคยได้ทำการอัปเดตเพิ่มเติม ขอให้ทำการอัปเดตโดยด่วน