Adobe, saldırganların kurbanların sistemlerinde keyfi kod yürütmesine izin verebilecek birden fazla ciddi güvenlik açığı keşfettikten sonra hem Windows hem de MacOS platformlarında Photoshop için kritik güvenlik güncellemeleri yayınladı.
Güvenlik Bülteni, Photoshop 2025’i (sürüm 26.5 ve önceki) ve Photoshop 2024’ü (sürüm 25.12.2 ve önceki) etkileyen üç kritik kusuru ele alır.
Adobe Photoshop’ta keşfedilen çoklu kritik kusurlar
Bu kusurların en ilgili yönü, tehdit aktörlerinin etkilenen sistemlerde keyfi kod yürütmeleri ve potansiyel olarak tam sistem uzlaşmasına yol açmasına izin verme potansiyelleridir.
.png
)
İlk güvenlik açığı (CVE-2025-30324), ortak zayıflık numaralandırma standardı CWE-191’i takiben bir tamsayı düşük (sarma veya sarma) zayıflığı olarak sınıflandırılır.
Bu tür bir kusur, matematiksel işlemler, bir tamsayı değerinin minimum veya maksimum etrafına sarılmasına neden olduğunda meydana gelir ve bu da saldırganların sömürebileceği beklenmedik davranışlara yol açar.
İkinci güvenlik açığı (CVE-2025-30325), matematiksel operasyonların benzer bir sınır ihlaline neden olduğu ancak ters yönde olduğu bir tamsayı taşma veya sarma sorununu (CWE-190) içerir.
Her iki tamsayı ile ilgili güvenlik açıkları, CVSS taban skoru 7.8 ile kritik bir önem derecesi aldı.
Üçüncü güvenlik açığı (CVE-2025-30326), yazılımın başlatılmadan önce bir işaretçi aracılığıyla belleğe erişmeye çalıştığı, başlatılmamış işaretçinin (CWE-824) erişiminden kaynaklanmaktadır.
Bu kusur ayrıca aynı CVSS vektörü ile kritik bir önem derecesi aldı: CVSS: 3.1/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H.
Adobe’nin güvenlik bültenine göre, bu güvenlik açıklarından herhangi birinin başarılı bir şekilde kullanılması, mevcut kullanıcı bağlamında keyfi kod uygulamasına yol açabilir.
Kullanıcının yönetici ayrıcalıkları varsa, bir saldırgan potansiyel olarak etkilenen sistemin tam kontrolünü ele geçirebilir, programları yükleyebilir, görüntüleyebilir veya verileri silebilir veya tam kullanıcı haklarına sahip yeni hesaplar oluşturabilir.
Şirket, güvenlik bülteninde “Neyse ki, Adobe, bu güncellemelerde ele alınan sorunların herhangi biri için vahşi doğada herhangi bir istismarın farkında değil” dedi.
Bununla birlikte, güvenlik uzmanları bu kusurların kritik doğası nedeniyle derhal yama yapmayı önermektedir.
| Cves | Etkilenen ürünler | Darbe | Önkoşuldan istismar | CVSS 3.1 puanı |
| CVE-2025-30324CVE-2025-30325 CVE-2025-30326 | Photoshop 2025 (≤26.5), Photoshop 2024 (≤25.12.2) | Keyfi kod yürütme | Yerel erişim, kullanıcı etkileşimi, ayrıcalık yok | 7.8 (kritik) |
Güvenlik güncellemeleri mevcut
Adobe, bu güvenlik açıklarını ele almak için etkilenen yazılımın güncellenmiş sürümlerini yayınladı. Photoshop 2025 kullanıcıları sürüm 26.6’ya güncellenirken, Photoshop 2024 kullanıcıları sürüm 25.12.3’e güncellemelidir.
Şirket, bu güncellemelere öncelik 3 derecesi vermiştir, bu da güvenlik açıklarının tarihsel olarak saldırganlar tarafından hedeflenmeyen ürünleri etkilediğini gösterir.
Kullanıcılar yazılımlarını Creative Cloud Desktop uygulamasının güncelleme mekanizması aracılığıyla güncelleyebilir. Yönetilen ortamlar için BT yöneticileri güncellemeleri yönetici konsolundan dağıtabilir.
Adobe, güvenlik araştırmacısı “Yjdfy” nin üç güvenlik açıkının da sorumlu bir şekilde ifşa ettiği ve müşterileri korumak için şirketle işbirliği yaptığı için kabul etti.
Şirket, Adobe’nin güvenlik çabalarına katkıda bulunmak isteyen harici güvenlik araştırmacıları için hackerone ile halka açık bir hata ödül programı sürdürüyor.
Tüm Photoshop kullanıcılarının en son sürümleri olan Photoshop 2025 (26.6) ve Photoshop 2024 (25.12.3)-herhangi bir riski azaltmak için güncellemeleri şiddetle tavsiye edilir. Dikkatli kalmak ve yazılım güncel tutmak gelişen siber tehditlere karşı en iyi savunma olmaya devam ediyor.
Tehditleri% 99,5 doğrulukla durdurmak için uç nokta güvenliği için savunma yapay zekasını kullanma – Ücretsiz seminere katılın