Adobe, CVE-2025-30330 olarak izlenen kritik bir yığın tabanlı tampon taşma güvenlik açığının keşfedilmesinin ardından yaygın olarak kullanılan grafik tasarım yazılımı Adobe Illustrator için acil bir güvenlik güncellemesi yayınladı.
Etkilenen sistemlerde keyfi kod yürütülmesine izin veren bu kusur, Illustrator 2024 ve 2025’in hem Windows hem de MacOS sürümlerini etkiler.
7.8 CVSS puanı ile derecelendirilen güvenlik açığı, saldırganların kötü amaçlı bir dosya açmaya kandırarak bir kullanıcının cihazının kontrolünü ele geçirmesini sağlayabilir.
.png
)
Adobe, etkilenen yazılım için yamalar yayınladı ve kullanıcıları Creative Cloud masaüstü uygulaması aracılığıyla hemen güncellemeye çağırıyor.
CWE-122 (yığın tabanlı arabellek taşması) altında sınıflandırılan yeni açıklanan güvenlik açığı, Adobe Illustrator’ın belirli dosya türlerini nasıl işlediğinde yer alır.
Bu kusurdan yararlanan saldırganlar, açıldığında, taşma bellek arabelleğini taşan ve kurbanın sisteminde kötü amaçlı kod yürüten özel olarak tasarlanmış belgeler hazırlayabilir.
Bu tür istismar tipik olarak, dosya önizlendikten veya düzenlendikten sonra yük etkinleştirildiğinden, tipik olarak minimum kullanıcı etkileşimi gerektirir.
Adobe’nin güvenlik ekibi, sistem bütünlüğünü, gizliliğini ve kullanılabilirliğini tehlikeye atma potansiyeli nedeniyle güvenlik açığı “kritik” bir ciddiyet derecesi verdi.
Ortak Güvenlik Açığı Skorlama Sistemi (CVSS) Değerlendirme, Kusurun 7.8 (yüksek) olarak oranları, sömürünün yerel erişim ve kullanıcı etkileşimi gerektirdiğini, ancak tam sistem kontrolüne yol açabileceğini belirtti.
Güvenlik araştırmacısı YJDFY, işbirlikçi güvenlik girişimlerinin etkinliğini vurgulayarak Adobe’nin Hackerone Bug Bounty programı aracılığıyla sorunu tanımladı ve bildirdi.
Yazılım sürümleri ve güncelleme prosedürleri
Güvenlik açığı, hem Windows hem de MacOS platformlarında Illustrator 2025 (29.3 ve önceki sürümler) ve Illustrator 2024’ü (28.7.5 ve önceki sürümler) etkiler.
Adobe, en son güncellemelerde kusuru ele aldı: Illustrator 2025 sürüm 29.4 ve Illustrator 2024 sürüm 28.7.6.
Kullanıcılara bu yamaları hemen Creative Cloud Desktop uygulamasının güncelleme mekanizması veya Adobe’nin Güvenlik Bülteni sayfasında sağlanan doğrudan indirme bağlantıları aracılığıyla yüklemeleri önerilir.
Adobe, güncellemeyi öncelik 3 derecelendirme ile sınıflandırır, bu da yöneticilerin yamayı 30 gün içinde dağıtması gerektiğini gösterir.
Şirket vahşi doğada aktif sömürü gözlemlememiş olsa da, kırılganlığın eleştirel doğası hızlandırılmış eylemi garanti ediyor.
Tasarım çalışması için illüstratöre dayanan kuruluşlar, tedarik zinciri saldırıları veya hedefli ihlal riskini azaltmak için etkilenen tüm kurulumların güncellenmesine öncelik vermelidir.
Adobe’nin yanıtı ve güvenliği
Adobe, danışmanlığında, genel hata ödül programı ve YJDFY gibi harici araştırmacılarla işbirliği de dahil olmak üzere kullanıcıları korumak için proaktif önlemleri vurguladı.
Şirketin Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), kullanıcıları hackerone portalı aracılığıyla güvenlik açıklarını bildirmeye teşvik ederken tehditleri izlemeye devam ediyor.
Büyük ölçekli dağıtımları yöneten işletmeler için Adobe, Creative Cloud yönetici konsolundaki otomatik güncellemelerin zamanında korunmasını sağlamayı önerir.
Bireysel kullanıcılar, yardım etmek için gezinerek yazılım sürümlerini doğrulamalıdır. Illustrator ve gerekirse manuel güncellemeleri başlatma.
Güncelleme sorunlarını gidermek için adım adım talimatlar sunan Adobe’nin Güvenlik Yardım sayfasında ek rehberlik mevcuttur.
Henüz hiçbir istismar belgelenmemiş olsa da, açıklama karmaşık tasarım yazılımı ile ilişkili kalıcı risklerin altını çizmektedir.
Adobe Illustrator’ın diğer yaratıcı bulut araçları ve sık dosya paylaşımı iş akışlarıyla entegrasyonu, onu saldırganlar için yüksek değerli bir hedef haline getiriyor.
Kullanıcılara, güncellemeyi uyguladıktan sonra bile güvenilmeyen kaynaklardan dosyaları açarken dikkatli olmaları önerilir.
Siber güvenlik tehditleri geliştikçe, Adobe’nin hızlı yama konuşlandırılması ve araştırmacı katkılarını kabul etmede şeffaflığı, endüstri uygulamaları için bir ölçüt belirledi.
Bununla birlikte, bu olay aynı zamanda tasarımcıların ve kuruluşların titiz güncelleme protokollerini sürdürmeleri ve sosyal olarak tasarlanmış saldırılara karşı uyanık kalmaları için bir hatırlatma görevi görür.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!