- 19,455
- 40
- 8 Ноя 2022
Пока вы подбираете шрифт, вредоносный код уже забирает права администратора.
Компания Adobe Для просмотра ссылки Войдиили Зарегистрируйся внеплановые обновления безопасности для Photoshop 2024 и 2025, устранив сразу три критические уязвимости с оценкой 7.8 по шкале CVSS — Для просмотра ссылки Войди или Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Все три проблемы могли позволить злоумышленникам выполнять произвольный код на устройствах с Windows и macOS при открытии специально созданных файлов.
Ошибки были обнаружены независимым специалистом yjdfy через программу вознаграждений HackerOne. Исследование показало, что уязвимости связаны с некорректной работой с памятью — в частности, с неверной арифметикой целых чисел и использованием неинициализированных указателей. Хотя признаков активной эксплуатации пока не выявлено, атаки возможны при открытии вредоносных графических файлов, что требует минимального взаимодействия со стороны жертвы.
Первая из трёх уязвимостей — CVE-2025-30324 — связана с ошибкой переполнения в модуле компоновки слоёв Photoshop. Проблема возникает при вычитании большого значения из меньшего без должной проверки границ: это приводит к отрицательному смещению в оперативной памяти и может нарушить соседние участки. Через такую дыру атакующий может создать специально подготовленный .PSD-файл, вызывающий ошибку записи до начала выделенного буфера.
Вторая Для просмотра ссылки Войдиили Зарегистрируйся , CVE-2025-30325, затрагивает обработку цветового пространства CMYK. Она позволяет вызвать переполнение буфера в куче при подстановке чрезмерно больших значений в цветовой профиль, приводя к нарушению целостности памяти при расчётах пикселей. Обе проблемы требуют локального взаимодействия — пользователь должен скачать заражённый файл и открыть его.
Третья уязвимость, CVE-2025-30326, связана с обработкой метаданных TIFF-файлов. При чтении заголовков Exif в устаревшем формате может произойти обращение к неинициализированному указателю, что позволяет атакующему управлять дальнейшими операциями в памяти приложения.
Все три уязвимости дают возможность выполнить произвольный код с теми же правами, что и Photoshop. Поскольку это ПО нередко работает с привилегиями администратора, риски значительно возрастают. Обновления, выпущенные 13 мая 2025 года, устраняют проблему в версиях 26.5 и 25.12.2, предлагая исправления в версиях 26.6 и 25.12.3 соответственно. Основные меры включают расширенные проверки границ в растровых операциях и усиленную валидацию указателей.
Для пользователей Creative Cloud обновление устанавливается автоматически, но в корпоративной среде требуется ручное одобрение через Admin Console. Adobe рекомендует администраторам заранее протестировать совместимость заплатки с плагинами, поскольку обновлённая работа с памятью может затронуть устаревшие расширения.
Как временное решение для неподготовленных систем, Adobe предлагает ограничить возможность открытия файлов из ненадёжных источников с помощью политик GPO (в Windows) или MDM-профилей (в macOS). Однако такие меры снижают функциональность и не заменяют полноценное обновление.
Этот инцидент в очередной раз подчеркнул, насколько сложно защитить сложное графическое ПО от атак, завязанных на файлах. Хотя Adobe расширила инфраструктуру фуззинга для кодеков с 2023 года, проблемы с устаревшими форматами всё ещё остаются.
Для организаций это событие — повод пересмотреть сроки перехода на более свежие версии Photoshop, особенно при активной работе с файлами от внешних контрагентов. ИБ-специалисты советуют запускать графические редакторы в изолированной среде — через виртуализацию или контейнеризацию, чтобы минимизировать ущерб при возможной компрометации.
Adobe продолжает демонстрировать оперативность: с начала года это уже четвёртое критическое обновление Photoshop, отражающее рост числа атак и возрастающую сложность защиты на фоне появления новых ИИ-функций. Компаниям следует незамедлительно проверить статус обновлений Creative Cloud и при необходимости вручную установить исправления. Также рекомендовано просмотреть последние действия по обработке файлов на предмет подозрительной активности.
Компания Adobe Для просмотра ссылки Войди
Ошибки были обнаружены независимым специалистом yjdfy через программу вознаграждений HackerOne. Исследование показало, что уязвимости связаны с некорректной работой с памятью — в частности, с неверной арифметикой целых чисел и использованием неинициализированных указателей. Хотя признаков активной эксплуатации пока не выявлено, атаки возможны при открытии вредоносных графических файлов, что требует минимального взаимодействия со стороны жертвы.
Первая из трёх уязвимостей — CVE-2025-30324 — связана с ошибкой переполнения в модуле компоновки слоёв Photoshop. Проблема возникает при вычитании большого значения из меньшего без должной проверки границ: это приводит к отрицательному смещению в оперативной памяти и может нарушить соседние участки. Через такую дыру атакующий может создать специально подготовленный .PSD-файл, вызывающий ошибку записи до начала выделенного буфера.
Вторая Для просмотра ссылки Войди
Третья уязвимость, CVE-2025-30326, связана с обработкой метаданных TIFF-файлов. При чтении заголовков Exif в устаревшем формате может произойти обращение к неинициализированному указателю, что позволяет атакующему управлять дальнейшими операциями в памяти приложения.
Все три уязвимости дают возможность выполнить произвольный код с теми же правами, что и Photoshop. Поскольку это ПО нередко работает с привилегиями администратора, риски значительно возрастают. Обновления, выпущенные 13 мая 2025 года, устраняют проблему в версиях 26.5 и 25.12.2, предлагая исправления в версиях 26.6 и 25.12.3 соответственно. Основные меры включают расширенные проверки границ в растровых операциях и усиленную валидацию указателей.
Для пользователей Creative Cloud обновление устанавливается автоматически, но в корпоративной среде требуется ручное одобрение через Admin Console. Adobe рекомендует администраторам заранее протестировать совместимость заплатки с плагинами, поскольку обновлённая работа с памятью может затронуть устаревшие расширения.
Как временное решение для неподготовленных систем, Adobe предлагает ограничить возможность открытия файлов из ненадёжных источников с помощью политик GPO (в Windows) или MDM-профилей (в macOS). Однако такие меры снижают функциональность и не заменяют полноценное обновление.
Этот инцидент в очередной раз подчеркнул, насколько сложно защитить сложное графическое ПО от атак, завязанных на файлах. Хотя Adobe расширила инфраструктуру фуззинга для кодеков с 2023 года, проблемы с устаревшими форматами всё ещё остаются.
Для организаций это событие — повод пересмотреть сроки перехода на более свежие версии Photoshop, особенно при активной работе с файлами от внешних контрагентов. ИБ-специалисты советуют запускать графические редакторы в изолированной среде — через виртуализацию или контейнеризацию, чтобы минимизировать ущерб при возможной компрометации.
Adobe продолжает демонстрировать оперативность: с начала года это уже четвёртое критическое обновление Photoshop, отражающее рост числа атак и возрастающую сложность защиты на фоне появления новых ИИ-функций. Компаниям следует незамедлительно проверить статус обновлений Creative Cloud и при необходимости вручную установить исправления. Также рекомендовано просмотреть последние действия по обработке файлов на предмет подозрительной активности.
- Источник новости
- www.securitylab.ru
