Adobe, Photoshop 2024 ve 2025’te Windows and MacOS sistemlerinde keyfi kod yürütmeyi sağlayabilecek üç yüksek aralıklı güvenlik açıklarını (CVE-2025-30324, CVE-2025-30325, CVE-2025-30326) ele alan kritik güvenlik güncellemeleri yayınladı.
Harici araştırmacı YJDFY tarafından Adobe’nin Hackerone Bug Bounty programı aracılığıyla keşfedilen kusurlar, tamsayı manipülasyonu ve inatçı olmayan işaretçi erişiminden kaynaklanan bellek yolsuzluk risklerini içerir.
13 Mayıs 2025’te piyasaya sürülen yamalar aktif istismar gözlenmemiş olsa da, kötü amaçlı dosya işleme yoluyla kullanıcı etkileşimi gerektiren saldırı vektörlerini azaltın.
.png
)
Güvenlik açıkları, görüntü dosyası işleme sırasında uygunsuz bellek yönetimine odaklanır.
CVE-2025-30324, Photoshop’un katmanı birleştirme motorunda bir tamsayı düşük akış/sarma hatası içerir;
Bu, saldırganların bitişik bellek bölgelerini bozarak arabelleğe tabi tutma koşullarını tetikleyen .psd dosyaları oluşturmasına izin verebilir.
CVE-2025-30325, CMYK renk alanı dönüşüm modülündeki bir tamsayı taşmasından kaynaklanır. Piksel hesaplamaları sırasında 32 bit tamsayı sınırlarını aşan özel olarak oluşturulmuş renk profilleri, yığın tampon taşmasına neden olur.
Her iki güvenlik açığı, kötü amaçlı dosya açıklıkları yoluyla kullanıcı etkileşimi gerektiren yerel saldırı vektörleri nedeniyle 7.8 CVSSV3.1 derecelendirmeleri puanladı.
Üçüncü kusur olan CVE-2025-30326, Photoshop’un eski TIFF meta veri etiketlerini ele almasıyla ilgilidir.
Manipüle edilmiş TIFF başlıklarından EXIF verilerini okurken işaretçi referanslarını başlatılmaması, saldırgan kontrolündeki bellek adreslerini düzenleyebilir.
Adobe’nin bülteninin her üç sorunun da, hedefin ayrıcalık düzeyinde keyfi kod yürütülmesini sağlayarak Photoshop’un yüksek izinlerle ortak kullanımı göz önüne alındığında önemli riskler oluşturduğunu not eder.
Yama dağıtım ve azaltma stratejileri
Etkilenen sürümler arasında her iki platformda Photoshop 2025 (26.5 ve önceki) ve Photoshop 2024 (25.12.2 ve daha eski) bulunur.
2025 için 46.6 güncellemeleri ve 2024 mukavemeti için 25.12.3, raster işlemlerinde kontrol ve işaretçi doğrulama rutinlerini uygulamak.
Creative Cloud kullanıcıları, masaüstü uygulamasının arka plan hizmeti aracılığıyla otomatik güncellemeler alır, ancak yöneticiler yönetici konsolunu kullanarak yönetilen ortamlardaki dağıtımları manuel olarak onaylamalıdır.
Enterprise dağıtımları, bellek düzeni değişiklikleri eski uzantıları etkileyebileceğinden, yamanın üçüncü taraf eklentileriyle uyumluluğunun test edilmesine öncelik vermelidir.
Patlamasız sistemler için geçici azaltma, Photoshop’un güvenilmeyen kaynaklardan dosyaları açmasını kısıtlamak için Grup İlkesi Nesneleri (Windows) veya Mobil Aygıt Yönetimi Profillerini (MACOS) yapılandırmayı içerir.
Bununla birlikte, Adobe bu geçici çözümlerin işlevselliği bozduğunu ve kalıcı yamaların yerini almaması gerektiğini vurgulamaktadır.
Yaratıcı profesyoneller için çıkarımlar
Bu güvenlik açıkları, karmaşık grafik yazılımını dosya tabanlı saldırılara karşı güvence altına almada kalıcı zorlukları vurgulamaktadır.
Adobe’nin kritik kusurlar için maksimum 250.000 dolarlık ödülüne rağmen, tek bir araştırmacının keşfi, bellek bozulması hataları için otomatik kod denetimindeki potansiyel boşlukları önermektedir.
Şirketin PSIRT ekibi, 2023’ten beri görüntü kodekleri için bulanık altyapısını genişletti, ancak eski format desteğindeki kenar durumları sorunlu kalıyor.
Kullanıcılar için güncelleme, hala Photoshop 2024’ü kullanan yazılım yaşam döngüsü yönetimi organizasyonlarının önemini vurgulamaktadır.
Güvenlik analistleri, özellikle sık sık harici dosya değişimlerini içeren roller için sanallaştırma veya konteynerizasyon yoluyla sanal alan grafik yazılımı önermektedir.
Adobe’nin şeffaf ifşası, ilk araştırmacı raporlamasından sonraki 90 gün içinde piyasaya sürülen yamalar ile gelişmiş bir satıcı duyarlılığı eğilimini sürdürüyor.
Dosya tabanlı saldırılar giderek daha fazla yaratıcı endüstrileri hedefledikçe, olay, CISA’nın AIS ağı gibi platformlar aracılığıyla sektöre özgü tehdit istihbarat paylaşımına olan ihtiyacı güçlendiriyor.
Güncellemeler, Adobe’nin 2025’teki dördüncü kritik Photoshop yamasını, hem yoğunlaştırılmış güvenlik araştırma çabalarını hem de yazılımın genişleyen saldırı yüzeyini AI güdümlü özelliklerden yansıtıyor.
Kullanıcılar yaratıcı bulut güncelleme durumlarını hemen doğrulamalı ve anormallikler için son dosya işleme etkinliklerini denetlemelidir.
Mevcut hafifletmeler sömürü olasılığını azaltırken, bellek yolsuzluk kusurlarının teknik karmaşıklığı, sürekli uyanıklık gerektiren kalıcı riskler sağlar.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!