Obrir una imatge amb Microsoft Paint sembla l’operació més innocent del món. Amb CVE-2026-35421 deixa de ser-ho. Microsoft va incloure aquest error al seu Patch Tuesday del 12 de maig de 2026 i el va classificar com a execució remota de codi al subsistema gràfic GDI de Windows.
Què és la vulnerabilitat
GDI (Graphics Device Interface) és la capa de Windows encarregada de dibuixar gràfics a la pantalla i de gestionar formats d’imatge vectorial com els Enhanced Metafile (EMF). CVE-2026-35421 és un desbordament de buffer al heap (CWE-122) dins del codi que processa aquests fitxers. Quan GDI interpreta un EMF preparat expressament, escriu fora dels límits d’una estructura reservada a memòria dinàmica. Aquesta escriptura controlada per l’atacant és el que obre la porta a executar codi.
El detonant pràctic és Microsoft Paint. Paint fa servir GDI per renderitzar el contingut, així que n’hi ha prou que la víctima obri un fitxer EMF maliciós perquè el codi vulnerable entri en acció. No cal que el fitxer tingui aspecte sospitós ni que mostri cap error: el dany passa durant el processament de la imatge.
A qui afecta i amb quina gravetat
Microsoft li va assignar un CVSS de 7.8 i el tracta com a execució de codi. El matís important és que el codi s’executa amb els privilegis de l’usuari que obre el fitxer. Si aquest usuari és administrador, l’atacant hereta aquest nivell; si és un compte limitat, l’abast inicial queda contingut a aquest compte, tot i que continua sent un punt d’entrada útil per encadenar altres escalades.
És un vector d’enginyeria social clàssic. L’atacant no entra sol al teu equip: necessita que algú obri l’EMF. Per això encaixa bé en campanyes de pesca, en adjunts de correu o en descàrregues disfressades. No consta explotació activa en el moment del pedaç, i aquest Patch Tuesday de maig va ser el primer sense cap zero-day des del juny de 2024. Tot i així, un cop publicat el pedaç els detalls queden disponibles per a qui vulgui construir un exploit, de manera que la finestra de calma no dura gaire.
Mitigació
La resposta és directa: aplica el Patch Tuesday de maig de 2026. L’actualització corregeix el codi de GDI que processa els EMF, així que cobreix tant Paint com qualsevol altra aplicació que renderitzi metafiles a través de la mateixa llibreria del sistema. Si gestiones un parc d’equips, prioritza el desplegament a les màquines on els usuaris obren adjunts sovint.
Mentre el pedaç arriba a tots els teus sistemes, val la pena desconfiar dels fitxers EMF d’origen desconegut i no obrir adjunts gràfics inesperats. Treballar amb comptes sense privilegis d’administrador en el dia a dia limita el que un exploit pot aconseguir si té èxit. I si la teva organització filtra adjunts al correu, afegir els EMF a la llista de tipus a inspeccionar redueix la superfície.
Cal recordar que això no és un error exclusiu de Paint. Paint és el camí més còmode per demostrar-ho, però el problema viu a GDI, una peça que moltes aplicacions de Windows fan servir sense que l’usuari se n’adoni.