Adobe, yaygın olarak kullanılan yazılım ürünlerinin 13’ü boyunca 60’tan fazla güvenlik açığını ele alan yeni bir güvenlik yaması seti yayınladı. Şirketin rutin Adobe Yaması Salı döngüsünün bir parçası olan bu güncelleme, Adobe Commerce ve Illustrator’dan Madde 3D Suite’e kadar değişen uygulamalar için kritik düzeltmeler içeriyor.
Adobe Güvenlik Güncellemesi Sunumu, APSB25-84 (APSB25-82 hariç) ile APSB25-71 tavsiyelerini içerir, Adobe’nin birçoğu keyfi kod uygulamasına, inkar servisine (DOS), bellek sızıntısına ve özel çıkıntıya yol açabilecek artan güvenlik tehditlerini çözme çabalarını yansıtır.
En son Adobe Güvenlik Güncellemesinin Kod Çözülmesi
Bu Adobe Güvenlik Güncellemesi’ndeki en acil düzeltmeler, Adobe Commerce, Magento Açık Kaynak ve Ticaret B2B’de birden fazla kritik güvenlik açığını ele alan APSB25-71 uyarınca gerçekleşir. Bu kategoride altı farklı CVE vurgulandı ve 2.4.8 – P1 ve önceki sürümleri etkiledi. Bunlar şunları içerir:
- CVE – 2025-49554: Yanlış Giriş Doğrulaması (DOS)
- CVE – 2025-49555: CSRF güvenlik açığı (ayrıcalık artış)
- CVE – 2025-49556: Kimlik Doğrulama Bypass (keyfi dosya sistemi okundu)
- CVE – 2025-49557: Depolanan XSS (ayrıcalık artışı)
- CVE – 2025-49558 & CVE – 2025-49559: Toctou ve Path Traversal Güvenlik Açıkları (Güvenlik Özelliği Bypass)
Adobe, bu konuları 2 öncelik derecelendirme atadı ve kullanıcıları sömürü riskini azaltmak için hemen güncellemeye çağırdı. Yamalı sürümler artık ticaret için 2.4.8 – P2 ve 2.4.7 – P7’ye ve Ticaret B2B için 1.5.2 – P2’ye kadar uzanıyor.
Madde 3D ürünleri sert vurdu
APSB25-72, 76, 77, 78 ve 81 bültenleri arasında Madde 3D ürün hattında, Madde 3D ürün hattında önemli bir adobe güvenlik açıkları bulundu.
Bu kategorideki anahtar CVES:
- CVE – 2025-49560 ve CVE – 2025-49569 (Madde 3D izleyici)
- CVE – 2025-49571 – CVE – 2025-49573 ve CVE – 2025-54186 ila 54235 (Madde 3D Modeler)
- CVE – 2025-54187 – CVE – 2025-54195 (Madde 3D ressam)
- CVE – 2025-54205 (Madde 3D örnekleyici)
- CVE – 2025-54222 ve CVE – 2025-54237 (Madde 3D Stager)
Bu güvenlik açıkları büyük ölçüde güvenli olmayan bellek işlemleri, kaza riskleri, veri bozulması ve uzaktan kod yürütme ile ilgilidir. Bu ürünler arasındaki öncelik derecesi 3 olarak işaretlenmiştir, bu da önemli ancak daha az acil bir eylemin gerekli olduğunu gösterir; Ancak, güncellemeler hala şiddetle tavsiye edilmektedir.
Popüler yaratıcı araçlar da etkilendi
Adobe Illustrator (APSB25-74)
Illustrator 2024 ve 2025’te aşağıdakileri içeren birden fazla yüksek etkili hata bulundu:
- CVE-2025-49563: Sınır dışı yazma
- CVE-2025-49564: Yığın Tabanlı Tampon Taşma
- CVE – 2025-49567: NULL POINTER DERERENERY (DOS)
- CVE-2025-49568: Kullanımsız kullanım (kod yürütme)
Kullanıcıların Illustrator 2025 sürüm 29.7 veya daha sonra ve Illustrator 2024 sürüm 28.7.9 veya üstüne yükseltmesi istenir.
Adobe Photoshop (APSB25-75)
Photoshop 2025 ve 2024’te kritik bir sınır dışı yazma hatası (CVE-2025-49570) keyfi kod yürütülmesine izin verebilir. Güncellenmiş sürümler sırasıyla 26.9 ve 25.12.4 olarak mevcuttur.
Adobe Animate (APSB25-73)
Ondan sonra kullanımsız bir kusur (CVE-2025-49561) ve bir bellek sızıntısı (CVE-2025-49562) dahil olmak üzere iki güvenlik açığı, 23.0.13 ve 24.0.10 animasyon versiyonlarında yamalanmıştır.
Adobe Indesign, Incopy ve Framemaker da yamalı
Adobe Indesign (APSB25-79) ve Incopy (APSB25-80), yığın taşmalarını, kullanılmayan hataları ve sınır dışı olmayanları kapsayan birkaç kritik yama aldı.
Incopy düzeltmeleri:
- CVE-2025-54215-CVE-2025-54223: Tüm kritik güvenlik açıkları keyfi kod yürütülmesine izin verir
- Etkilenen sürümler: 20.4 ve 19.5.4 ve önceki
- Güncellenmiş sürümler: 20.5 ve 19.5.5
Indesign Düzeltmeleri:
- CVE-2025-54206-CVE-2025-54228: Kritik Bellekle İlgili Sorunlar
- Güncellemeler Creative Cloud veya manuel güncelleme kanalları aracılığıyla kullanılabilir
Framemaker (APSB25-83) ayrıca kritik olmayan kritik kullanım hatalarını (CVE-2025-54229 ila 54232) ve bir bellek sızıntısı (CVE-2025-54233) düzeltmek için de güncellendi. Güncellemeler 2020 ve 2022 sürümleri için geçerlidir.
Adobe Boyutu düşük anahtar ancak gerekli düzeltme alır
APSB25-84, Adobe Boyutunda (CVE – 2025-54238) tek, önemli bir bellek sızıntısı güvenlik açığını giderir. Vahşi doğada hiçbir istismarın var olduğu bilinmemekle birlikte, kırılganlık hala eylemi garanti eder. Kullanıcılar hem Windows hem de MacOS’da 4.1.4 sürümüne geçmelidir.
Bilinen istismar yok ancak riskler kalıyor
Kuruluş, bu Adobe Güvenlik Güncellemesinde açıklanan güvenlik açıkları için herhangi bir aktif istismarın farkında olmadığını vurguladı. Bununla birlikte, şirket yamalı sürümlerin hemen güncellenmesini şiddetle önerir.
Tampon taşmaları, uygunsuz giriş validasyonu ve içermeyen kullanımlar gibi sömürülebilir güvenlik açıkları, vahşi doğada henüz silahlanmasa bile ciddi bir endişe olmaya devam etmektedir.
Araştırma katkıları
Birden fazla bağımsız araştırmacı ve güvenlik uzmanı, bu adobe güvenlik açıklarının keşfine ve sorumlu ifşa edilmesine katkıda bulunmuştur. Katkıda bulunanlar dahil:
- Francis Provencher (PRL)
- Jony (jony_juice)
- yjdfy
- ointxploit
- KaiKsi, Blaklis, Akashhamal0x01, Wohlie ve diğerleri
Adobe’nin resmi bültenlerinde çabaları kabul edildi.
Çözüm
60’tan fazla güvenlik açığı ele alındığında, Ağustos Adobe güvenlik güncellemesi son aylarda daha kapsamlı güvenlik güncelleme döngüleri arasındadır. Kusurların hiçbiri bu yazıdan itibaren kamuya açıklanmamış olsa da, birçok kişinin, özellikle kod uygulamasını sağlayanların doğası, kuruluşların ve bireylerin gerekli yamaları uygulamayı geciktirmemesi gerektiği anlamına gelir.
Kurumsal dağıtımları yöneten yöneticilere, sistemler arasında güncellemeleri uygulamak için Adobe yönetici konsolunu veya Creative Cloud paketleyicisini kullanmaları tavsiye edilir. Bireysel kullanıcılar için, Creative Cloud Desktop uygulaması en son güvenli sürümlere erişim sağlar.