Adobe, ürün paketindeki çeşitli güvenlik açıklarını gidermeyi amaçlayan bir dizi önemli güvenlik güncellemesini duyurdu. Bu güvenlik açıkları, siber suçluların rastgele kod çalıştırmasına ve sistemlere yetkisiz erişim sağlamasına olanak tanıyabilir. Siber tehditlerin artmasıyla birlikte bu Adobe güvenlik güncellemesi, yazılımının güvenliğini artırmaya ve kullanıcıları korumaya yönelik bir hamledir.
Adobe, 8 Ekim 2024’te Substance 3D Painter (APSB24-52) için bir güvenlik güncellemesi yayımladı. Bu güncelleme, öncelik düzeyi 3 olarak sınıflandırılmıştır ve CVE-2024-20787 olarak tanımlanan, önemli önem derecesine sahip bellek sızıntısı güvenlik açığını giderir. derecelendirme. Sürüm 10.0.1 ve önceki kullanıcıların bu riski azaltmak için Creative Cloud aracılığıyla sürüm 10.1.0’a güncellemeleri önerilir.
Önemli Adobe Güvenlik Güncellemesine Genel Bakış
Adobe, Adobe Commerce ve Magento için yine 8 Ekim 2024’te yayınlanan güncellemeler (APSB24-73) yayınladı. Bu güncellemenin öncelik düzeyi 2’dir ve kod yürütülmesine ve ayrıcalık artışına yol açabilecek birden fazla kritik güvenlik açığını giderir. Adobe Commerce ve Magento’da etkilenen çeşitli sürümler orijinal danışma belgesinde ayrıntılı olarak açıklanmıştır. Kullanıcıların, sistemlerinin güvende kalmasını sağlamak için belirtilen en son sürümlere güncelleme yapmaları önemle tavsiye edilir.
Daha da önemlisi Adobe, bu güvenlik açıklarını hedef alan herhangi bir aktif istismardan haberdar olmadığını doğrulayarak şirketin güvenlik önlemlerine güvenen kullanıcılara güvence sağladı.
Adobe Commerce B2B ve Magento için Ayrıntılı Yamalar
Kritik güvenlik sorunlarına odaklanmış bir çaba kapsamında Adobe, hem Adobe Commerce B2B hem de Magento için ayrı yamalar yayınladı. Şirket, Adobe Commerce B2B için çeşitli yamalar sundu: 1.4.2-p2 ve öncesi için sürüm 1.4.2-p3, 1.3.5-p7 ve öncesi için 1.3.5-p8, 1.3.4 için 1.3.4-p10 -p9 ve öncesi ve 1.3.3-p10 ve öncesi için 1.3.3-p11.
Bu güncelleme, öncelik düzeyi 2’dir ve kritik ayrıcalık yükseltmeyi içeren CVE-2024-45115 (CVSS puanı 9,8), kritik bir güvenlik özelliği atlaması olan CVE-2024-45148 (CVSS puanı 8,8) dahil olmak üzere birçok kritik güvenlik açığını giderir. ve kritik siteler arası komut dosyası çalıştırma (XSS) güvenlik açıklarıyla ilgili CVE-2024-45116 (CVSS puanı 8,1).
Adobe, Magento Açık Kaynak için yamalar da yayınladı: 2.4.7-p2 ve öncesi için sürüm 2.4.7-p3, 2.4.6-p7 ve öncesi için 2.4.6-p8, 2.4.5 için 2.4.5-p10 -p9 ve öncesi ve 2.4.4-p10 ve öncesi için 2.4.4-p11. Bu güncellemenin öncelik düzeyi 3’tür.
Ayrıca Adobe başka birçok uygulama için de güncellemeler yayınladı. 8 Ekim 2024’te yayımlanan Adobe Dimension (APSB24-74), 4.0.3 ve önceki sürümleri etkiliyor; güncellenmiş sürümü artık 4.0.4 olarak mevcut. Öncelik düzeyi 3 olan bu güncelleme, rastgele kod yürütülmesine yol açabilecek kritik güvenlik açıklarını giderir (CVE-2024-45146 ve CVE-2024-45150).
Adobe Animate (APSB24-76) güncellemelerini aynı tarihte aldı. Etkilenen sürümler arasında 2023 (23.0.7 ve öncesi) ve 2024 (24.0.4 ve öncesi) yer alıyor; yeni güncellemeler ise sırasıyla 23.0.8 ve 24.0.5. Bu güncelleme öncelik düzeyi 3 olarak kategorize edilmiştir ve rastgele kod yürütülmesine ve bellek sızıntılarına yol açabilecek kritik güvenlik açıklarını giderir.
Ek Güvenlik Açıkları
Bu son Adobe güvenlik güncellemesi, dikkat edilmesi gereken bazı kritik güvenlik açıklarını özetlemektedir. Öne çıkan sorunlardan biri, CWE-121 altında sınıflandırılan ve rastgele kod yürütülmesine yol açabilecek yığın tabanlı arabellek taşmasıdır. Bu güvenlik açığına, CVE-2024-47410 olarak tanımlanan CVSS puanı 7,8 olan kritik önem derecesi atanmıştır.
Ek olarak, CWE-416 olarak sınıflandırılan ve keyfi kod yürütülmesine de izin verebilen bir “Ücretsiz Kullandıktan Sonra Kullan” güvenlik açığı bulunmaktadır. Bu güvenlik açığı ciddiyet açısından kritik öneme sahiptir ve CVE-2024-47412 ile CVE-2024-47415 arasında değişen birden fazla CVE numarası içerir ve tümü 7,8 CVSS puanına sahiptir. Bir diğer kritik sorun ise CWE-190 olarak adlandırılan, benzer şekilde rastgele kod yürütülmesine izin veren ve CVE-2024-47416 olarak belirtilen 7,8 CVSS puanına sahip olan bir tamsayı taşmasıdır.
Ayrıca, CWE-122 olarak sınıflandırılan yığın tabanlı bir arabellek taşması da tanımlanmıştır ve bu, rastgele kod yürütülmesine de yol açabilir. Bu güvenlik açığının kritik önem derecesi ve CVE-2024-47417 olarak kaydedilen CVSS puanı 7,8’dir. Biraz daha hafif bir not olarak, CWE-125 olarak sınıflandırılan sınırların dışında bir okuma, bellek sızıntısına neden olabilir. Bu sorun, CVE-2024-47419 ve CVE-2024-47420 ile ilişkili 5,5 CVSS puanıyla önemli görülüyor.
Adobe, başta yjdfy ve Francis Provencher olmak üzere bu güvenlik açıklarını bildiren araştırmacılara şükranlarını sunuyor. Katkıları, Adobe ürünlerinin güvenliğinin artırılmasında önemli bir rol oynayarak kullanıcıların daha güvenli yazılım ortamlarına güvenebilmesini sağladı.
Çözüm
En son Adobe güncelleme güvenliği ile kullanıcılardan, potansiyel tehditlere karşı koruma sağlamak için uygulamalarını güncelleyerek hemen harekete geçmeleri isteniyor. Adobe yazılımındaki güvenlik açıklarının ciddi sonuçları olabileceğinden, zamanında güncellemeler daha iyi güvenlik sağlamak açısından kritik öneme sahiptir.