Windows 11 ARM CPU早期版本漏洞CVE-2025-7676

64位ARM（Advanced RISC Machine）架构通常被称为ARM64或AArch64，最初为低功耗设备设计，旨在提供高效计算能力和较低能耗。

64位ARM是一种现代处理器架构，广泛应用于移动设备、嵌入式系统和服务器等领域，经历演变已适应不断变化的技术需求和市场环境。

一、基本情况

Win11 ARM版是专为ARM架构提供的系统版本，旨在实现与传统x86架构兼容，同时充分发挥ARM架构在移动设备和低功耗环境的优势。

Win11 ARM64架构自推出以来，在平板电脑和超轻便笔记本电脑上获得广泛关注和好评，具有低功耗、高效能、快速启动和唤醒等特性。

栋科技漏洞库关注到Windows系统针对ARM64 CPU架构运行的PE32可执行文件DLL劫持漏洞，追踪为CVE-2025-7676，CVSS评分5.4。

二、漏洞分析

CVE-2025-7676漏洞是在Windows系统上存在的一个针对ARM64 CPU架构之上运行的所有PE32可执行文件，都存在的一个DLL劫持漏洞。

Windows 11早期版本中针对ARM CPU都存在该漏洞，漏洞源于易受影响ARM版本尝试加载通常不会从应用程序目录中加载的Base DLLs。

任何PE32应用程序在具有ARM64 CPU架构的Windows 11 22H2或23H2运行时都会受到 'Base' 操作系统DLL的DLL劫持，已在24H2修复。

Windows将尝试从应用程序目录加载这些DLL，其优先级高于Windows安装目录，根据先前研究，所讨论的可劫持DLL通常是不可劫持的。

具体来说，大多数软件安装程序，无论目标软件的CPU架构如何，都以PE32二进制文件的形式分发，并受到影响。

几乎所有使用流行安装包装器的软件都会尝试加载多个基本和已知的dll，用户从不安全的（例如“下载”）目录运行，这些dll可能被劫持。

ARM cpu的最终用户应尽可能更新到24H2，并在运行安装程序之前将其移动到干净的目录中。

所有软件的供应商都应该将安装程序作为ZIP或其他压缩存档分发，这将在解压缩时将安装程序可执行文件放置在干净的目录中。

如果攻击者能够在可执行文件所在的同一目录中放置一个DLL文件，那么攻击者可以利用该漏洞去执行代码。

三、影响范围

Windows 11 < 24H2

四、修复建议

Windows 11 >= 24H2

五、参考链接

管理员已设置登录后刷新可查看