Пока вы подбираете шрифт, вредоносный код уже забирает права администратора.
Компания Adobe внеплановые обновления безопасности для Photoshop 2024 и 2025, устранив сразу три критические уязвимости с оценкой 7.8 по шкале CVSS — , и . Все три проблемы могли позволить злоумышленникам выполнять произвольный код на устройствах с Windows и macOS при открытии специально созданных файлов.
Ошибки были обнаружены независимым специалистом yjdfy через программу вознаграждений HackerOne. Исследование показало, что уязвимости связаны с некорректной работой с памятью — в частности, с неверной арифметикой целых чисел и использованием неинициализированных указателей. Хотя признаков активной эксплуатации пока не выявлено, атаки возможны при открытии вредоносных графических файлов, что требует минимального взаимодействия со стороны жертвы.
Первая из трёх уязвимостей — CVE-2025-30324 — связана с ошибкой переполнения в модуле компоновки слоёв Photoshop. Проблема возникает при вычитании большого значения из меньшего без должной проверки границ: это приводит к отрицательному смещению в оперативной памяти и может нарушить соседние участки. Через такую дыру атакующий может создать специально подготовленный .PSD-файл, вызывающий ошибку записи до начала выделенного буфера.
Вторая , CVE-2025-30325, затрагивает обработку цветового пространства CMYK. Она позволяет вызвать переполнение буфера в куче при подстановке чрезмерно больших значений в цветовой профиль, приводя к нарушению целостности памяти при расчётах пикселей. Обе проблемы требуют локального взаимодействия — пользователь должен скачать заражённый файл и открыть его.
Третья уязвимость, CVE-2025-30326, связана с обработкой метаданных TIFF-файлов. При чтении заголовков Exif в устаревшем формате может произойти обращение к неинициализированному указателю, что позволяет атакующему управлять дальнейшими операциями в памяти приложения.
Все три уязвимости дают возможность выполнить произвольный код с теми же правами, что и Photoshop. Поскольку это ПО нередко работает с привилегиями администратора, риски значительно возрастают. Обновления, выпущенные 13 мая 2025 года, устраняют проблему в версиях 26.5 и 25.12.2, предлагая исправления в версиях 26.6 и 25.12.3 соответственно. Основные меры включают расширенные проверки границ в растровых операциях и усиленную валидацию указателей.
Для пользователей Creative Cloud обновление устанавливается автоматически, но в корпоративной среде требуется ручное одобрение через Admin Console. Adobe рекомендует администраторам заранее протестировать совместимость заплатки с плагинами, поскольку обновлённая работа с памятью может затронуть устаревшие расширения.
Как временное решение для неподготовленных систем, Adobe предлагает ограничить возможность открытия файлов из ненадёжных источников с помощью политик GPO (в Windows) или MDM-профилей (в macOS). Однако такие меры снижают функциональность и не заменяют полноценное обновление.
Этот инцидент в очередной раз подчеркнул, насколько сложно защитить сложное графическое ПО от атак, завязанных на файлах. Хотя Adobe расширила инфраструктуру фуззинга для кодеков с 2023 года, проблемы с устаревшими форматами всё ещё остаются.
Для организаций это событие — повод пересмотреть сроки перехода на более свежие версии Photoshop, особенно при активной работе с файлами от внешних контрагентов. ИБ-специалисты советуют запускать графические редакторы в изолированной среде — через виртуализацию или контейнеризацию, чтобы минимизировать ущерб при возможной компрометации.
Adobe продолжает демонстрировать оперативность: с начала года это уже четвёртое критическое обновление Photoshop, отражающее рост числа атак и возрастающую сложность защиты на фоне появления новых ИИ-функций. Компаниям следует незамедлительно проверить статус обновлений Creative Cloud и при необходимости вручную установить исправления. Также рекомендовано просмотреть последние действия по обработке файлов на предмет подозрительной активности.
Подробнее:
Компания Adobe внеплановые обновления безопасности для Photoshop 2024 и 2025, устранив сразу три критические уязвимости с оценкой 7.8 по шкале CVSS — , и . Все три проблемы могли позволить злоумышленникам выполнять произвольный код на устройствах с Windows и macOS при открытии специально созданных файлов.
Ошибки были обнаружены независимым специалистом yjdfy через программу вознаграждений HackerOne. Исследование показало, что уязвимости связаны с некорректной работой с памятью — в частности, с неверной арифметикой целых чисел и использованием неинициализированных указателей. Хотя признаков активной эксплуатации пока не выявлено, атаки возможны при открытии вредоносных графических файлов, что требует минимального взаимодействия со стороны жертвы.
Первая из трёх уязвимостей — CVE-2025-30324 — связана с ошибкой переполнения в модуле компоновки слоёв Photoshop. Проблема возникает при вычитании большого значения из меньшего без должной проверки границ: это приводит к отрицательному смещению в оперативной памяти и может нарушить соседние участки. Через такую дыру атакующий может создать специально подготовленный .PSD-файл, вызывающий ошибку записи до начала выделенного буфера.
Вторая , CVE-2025-30325, затрагивает обработку цветового пространства CMYK. Она позволяет вызвать переполнение буфера в куче при подстановке чрезмерно больших значений в цветовой профиль, приводя к нарушению целостности памяти при расчётах пикселей. Обе проблемы требуют локального взаимодействия — пользователь должен скачать заражённый файл и открыть его.
Третья уязвимость, CVE-2025-30326, связана с обработкой метаданных TIFF-файлов. При чтении заголовков Exif в устаревшем формате может произойти обращение к неинициализированному указателю, что позволяет атакующему управлять дальнейшими операциями в памяти приложения.
Все три уязвимости дают возможность выполнить произвольный код с теми же правами, что и Photoshop. Поскольку это ПО нередко работает с привилегиями администратора, риски значительно возрастают. Обновления, выпущенные 13 мая 2025 года, устраняют проблему в версиях 26.5 и 25.12.2, предлагая исправления в версиях 26.6 и 25.12.3 соответственно. Основные меры включают расширенные проверки границ в растровых операциях и усиленную валидацию указателей.
Для пользователей Creative Cloud обновление устанавливается автоматически, но в корпоративной среде требуется ручное одобрение через Admin Console. Adobe рекомендует администраторам заранее протестировать совместимость заплатки с плагинами, поскольку обновлённая работа с памятью может затронуть устаревшие расширения.
Как временное решение для неподготовленных систем, Adobe предлагает ограничить возможность открытия файлов из ненадёжных источников с помощью политик GPO (в Windows) или MDM-профилей (в macOS). Однако такие меры снижают функциональность и не заменяют полноценное обновление.
Этот инцидент в очередной раз подчеркнул, насколько сложно защитить сложное графическое ПО от атак, завязанных на файлах. Хотя Adobe расширила инфраструктуру фуззинга для кодеков с 2023 года, проблемы с устаревшими форматами всё ещё остаются.
Для организаций это событие — повод пересмотреть сроки перехода на более свежие версии Photoshop, особенно при активной работе с файлами от внешних контрагентов. ИБ-специалисты советуют запускать графические редакторы в изолированной среде — через виртуализацию или контейнеризацию, чтобы минимизировать ущерб при возможной компрометации.
Adobe продолжает демонстрировать оперативность: с начала года это уже четвёртое критическое обновление Photoshop, отражающее рост числа атак и возрастающую сложность защиты на фоне появления новых ИИ-функций. Компаниям следует незамедлительно проверить статус обновлений Creative Cloud и при необходимости вручную установить исправления. Также рекомендовано просмотреть последние действия по обработке файлов на предмет подозрительной активности.
Подробнее:
