Adobe, ürünlerinin on iki boyunca birden fazla güvenlik açıkını ele alan kapsamlı bir dizi güvenlik güncellemesi yayınladı.
Hepsi 8 Nisan 2025’te yayınlanan yamalar, kullanıcıları potansiyel olarak keyfi kod yürütme, ayrıcalık artışı ve başvuru reddi saldırıları da dahil olmak üzere çeşitli siber tehditlere maruz bırakabilecek kritik, önemli ve ılımlı güvenlik kusurlarını çözmeyi amaçlamaktadır.
Önemli güvenlik açıkları yamalı
Adobe Coldfusion (APSB25-15)
ColdFusion’ın güncellemesi, uygunsuz giriş validasyonu (CVE-2025-24446), güvenilmeyen verilerin serileştirilmesi (CVE-2025-24447) ve uygunsuz erişim kontrolü (CVE-2025-30281) dahil olmak üzere birçok güvenlik açığını çözer.
.png
)
OS komut enjeksiyonu (CVE-2025-30286) ve siteler arası komut dosyası (CVE-2025-30292) gibi diğer kusurlar da ele alındı.
Bu güvenlik açıkları, keyfi kod yürütülmesine, ayrıcalık artışına veya hassas bilgilerin maruz kalmasına yol açabilir.
Adobe After Effects (APSB25-23)
After Effects güncellemesi, bellek sızıntıları ve uygulama hizmetini reddetme sorunları gibi kritik güvenlik açıklarını giderir.
Başarılı bir sömürü, giriş yapan kullanıcı bağlamında keyfi kod yürütülmesine yol açabilir. Etkilenen sürümler arasında 24.6.4 ve daha önce, hem Windows hem de MacOS’ta 25.1 bulunur.
Adobe Media Encoder (APSB25-24)
Medya kodlayıcısı güncellemesi iki kritik güvenlik açığını ele alır: sınır dışı yazma (CVE-2025-27194) ve yığın tabanlı tampon taşması (CVE-2025-27195).
Bu kusurlar, CVSS skoru 7.8 ile keyfi kod yürütmeyi sağlayabilir.
Adobe Köprüsü (APSB25-25)
Bridge’in güvenlik yaması, keyfi kod yürütülmesine yol açabilecek bir yığın tabanlı tampon taşma güvenlik açığını (CVE-2025-27193) çözer.
Güvenlik açığı, hem Windows hem de MacOS platformlarında 14.1.5 ve önceki sürümleri ve 15.0.2’yi etkiler.
Adobe Ticaret (APSB25-26)
Adobe Commerce ve Magento Açık Kaynak, güvenlik özelliği bypass, ayrıcalık yükseltme ve başvuru hizmetini reddetmeye yol açabilecek güvenlik açıklarını ele almak için güvenlik güncellemeleri aldı.
Etkilenen sürümler arasında Adobe Commerce 2.4.8-beta2 ve daha önceki, Adobe Commerce B2B 1.5.1 ve daha önceki ve Magento Açık Kaynak 2.4.8-Beta2 ve tüm platformlarda.
Adobe Experience Manager Forms (APSB25-27)
AEM formları için güncelleme, yol geçişini (CVE-2024-38819) ve ona duyarlı eşleşme istisnası güvenlik açıklarını (CVE-2024-38820) ele alır.
Bu kusurlar üçüncü taraf bileşenlere bağımlılıklardan kaynaklanır ve yetkisiz erişim veya veri maruziyetine yol açabilir.
Adobe Premiere Pro (APSB25-28)
Premiere Pro’nun güncellemesi, etkilenen 24.6.4 ve önceki sürümlerde keyfi kod yürütülmesine yol açabilecek kritik bir yığın tabanlı tampon taşma güvenlik açığını (CVE-2025-27196) çözer.
Adobe Photoshop (APSB25-30)
Photoshop’un yaması, CVSS skoru 7.8 ile kritik puan alan bir yığın tabanlı tampon taşma güvenlik açığını (CVE-2025-27198) adresler.
Bu kusur, başarılı bir şekilde sömürülürse keyfi kod yürütülmesine neden olabilir.
Adobe Animate (APSB25-31)
Adobe Animate’in güncellemesi, her ikisi de 7.8 CVSS skoru ile derecelendirilen ve keyfi kod yürütülmesine yol açabilecek, HEAP tabanlı tampon taşması (CVE-2025-27199) ve kullanımsız (CVE-2025-27200) gibi kritik güvenlik açıklarını çözer.
Ek olarak, CVSS skoru 5.5 ile önemli olarak derecelendirilen iki bellek sızıntısı güvenlik açığı (CVE-2025-27201 ve CVE-2025-27202) ele alınmıştır. Bu güvenlik açıkları, Windows ve MacOS platformları için Adobe 2023’ü (23.0.10 ve önceki) ve 2024’ü (24.0.7 ve önceki) canlandırır.
Adobe Experience Manager ekranları (APSB25-32)
Adobe Experience Manager (AEM) ekranları için güncelleme, yansıtılan siteler arası senaryo (XSS) (CVE-2025-27205) ile ilgili önemli bir güvenlik açığını ele almaktadır.
Bu kusurun CVSS puanı 5.4’tür ve başarılı bir şekilde kullanılırsa keyfi kod uygulamasına yol açabilir. Tüm platformlarda AEM 6.5 FP11.3 ekranlarına kadar AEM ekran sürümlerini etkiler.
Adobe Framemaker (APSB25-33)
Framemaker’ın güncelleme, sınır dışı yazma (CVE-2025-30304), yığın tabanlı tampon taşması (CVE-2025-30295) ve yığın tabanlı tampon taşması (CVE-2025-30298) dahil olmak üzere çeşitli kritik güvenlik açıklarını giderir.
Bu sorunlar, saldırganların keyfi kod yürütmesine veya uygulama çökmelerine neden olmasına izin verebilir.
Adobe XMP Toolkit SDK (APSB25-34)
XMP Toolkit SDK güncellemesi, birden fazla sınır dışı okuma güvenlik açıklarını çözer (örneğin, CVE-2025-30305-CVE-2025-30309).
Bu kusurların sömürülmesi, bilgi açıklaması veya uygulama istikrarsızlığı ile sonuçlanabilir.
Güvenlik uzmanları, etkilenen Adobe ürünlerinin tüm kullanıcılarının kurulumlarını derhal güncellemesini önerir.
Çoğu ürün için güncelleme, Creative Cloud Desktop uygulamasının güncelleme mekanizması aracılığıyla veya Yardım menüsüne giderek ve tek tek uygulamalarda “güncellemeler” seçerek uygulanabilir.
Yönetilen ortamlar için BT yöneticileri, dağıtım paketleri oluşturmak için Creative Cloud Packager’ı kullanabilir.
Adobe, şu anda bu güvenlik açıkları için vahşi doğada herhangi bir istismarın farkında olmadığını doğruladı. Bununla birlikte, Adobe’nin yaratıcı ve kurumsal ürünler ekosisteminde güvenlik bütünlüğünü korumak için hızlı yamalama gereklidir.
Uygulama güvenliği artık sadece savunmacı bir oyun değil, güvence zamanı -> Ücretsiz Web Semineri