Adobe, popüler tasarım yazılımı illüstratörü için kritik bir güvenlik güncellemesi yayınladı ve saldırganların hedeflenen sistemlerde keyfi kod yürütmesine izin verebilecek ciddi bir güvenlik açığı ele aldı.
Güvenlik Bülteni, hem Windows hem de MacOS platformlarında yazılımın birden fazla sürümünü etkileyen yığın tabanlı bir tampon taşma güvenlik açığını detaylandırır.
CVE-2025-30330 olarak tanımlanan güvenlik kusuru, 7.8 CVSS taban skoru ile kritik olarak sınıflandırılmıştır.
.png
)
Güvenlik araştırmacıları, bunu başarıyla sömürülürse potansiyel olarak tam sistem uzlaşmasına yol açabilecek yığın tabanlı bir tampon taşma güvenlik açığı (CWE-122) olarak sınıflandırır.
Adobe Güvenlik Bülteni, “Bu güvenlik açığı, bir saldırganın mevcut kullanıcı bağlamında keyfi kod yürütmesine izin verebilir” diye açıklıyor.
Güvenlik açığı için teknik vektör, CVSS: 3.1/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H/A: H olarak tanımlanır, bu da gizlilik, bütünlük ve kullanılabilirlik üzerinde yüksek etkiye sahip yerel erişimi gösterir.
Siber güvenlik uzmanlarına göre, bu güvenlik açığının sömürülmesi, özellikle bir kurbanın saldırgan tarafından hazırlanmış kötü amaçlı bir dosya açması gerektiği kullanıcı etkileşimini gerektirir.
Bu, kötü niyetli aktörlerin özel olarak hazırlanmış illüstratör dosyalarını e -posta ekleri, tehlikeye atılmış web siteleri veya diğer yollarla dağıttığı yaygın bir saldırı vektörünü temsil eder.
Uzak bir saldırgan, kurbanı özel olarak hazırlanmış bir dosya açmaya, yığın tabanlı bir arabellek taşmasını tetikleyebilir ve hedef sistemde keyfi kod yürütebilir.
Adobe, güvenlik açığını keşfetmek ve raporlamak için yalnızca “YJDFY” olarak tanımlanan bir güvenlik araştırmacısına tanındı.
Etkilenen yazılım sürümleri
Güvenlik açığı aşağıdaki Adobe Illustrator sürümlerini etkiler:
- Illustrator 2025 sürüm 29.3 ve daha önceki Windows ve MacOS.
- Illustrator 2024 sürüm 28.7.5 ve daha önceki Windows ve MacOS.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Adobe Illustrator 2025 (≤29.3) Adobe Illustrator 2024 (≤28.7.5) |
| Darbe | Keyfi kod yürütme |
| Önkoşuldan istismar | Kullanıcı Etkileşimi GerektirenVictim, kötü niyetli .ai/.eps dosyasını açmalıdır |
| CVSS 3.1 puanı | 7.8 (kritik) |
Azaltma
Adobe, aşağıdaki güncellenmiş sürümlerde bu güvenlik açığını ele aldı:
- Illustrator 2025 sürüm 29.4 ve üstü.
- Illustrator 2024 Sürüm 28.7.6 ve üstü.
Kullanıcılara, Creative Cloud Desktop uygulamasının güncelleme mekanizması aracılığıyla illüstratör kurulumlarını hemen güncellemeleri şiddetle tavsiye edilir. Otomatik güncellemeleri devre dışı bırakanlar için manuel müdahale gerekecektir.
Şirket, bu güvenlik açığını hedefleyen vahşi bir istismarın farkında olmadığını, ancak ayrıntılar kamuya açıklandıkça bu hızla değişebileceğini belirtti.
Adobe Illustrator kullanan kuruluşlar kapsamlı bir yama yönetimi stratejisi uygular, dağıtım planlamasını kontrol etmek için otomatik güncellemeleri devre dışı bırakmayı düşünür ve güvensiz kaynaklardan dosyaları açma riskleri hakkında kullanıcı farkındalığını korumalıdır.
Potansiyel sömürü konusunda endişe duyan kullanıcılar, bilinmeyen veya güvenilmeyen kaynaklardan illüstratör dosyalarını açarken yazılımlarını derhal güncellemeli ve dikkatli olmalıdır.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri