Вторник обновлений Adobe устраняет более 60 уязвимостей в 13 продуктах
Компания Adobe выпустила новый набор исправлений безопасности, устраняющих более 60 уязвимостей в 13 своих популярных программных продуктах. Это обновление, являющееся частью стандартного цикла Adobe Patch Tuesday, включает критически важные исправления для различных приложений, от Adobe Commerce и Illustrator до пакета Substance 3D.
В выпуск обновлений безопасности Adobe входят рекомендации APSB25-71 – APSB25-84 (за исключением APSB25-82), отражающие постоянные усилия Adobe по устранению растущего числа угроз безопасности, многие из которых могут привести к выполнению произвольного кода, отказу в обслуживании (DoS) , утечкам памяти и несанкционированному повышению привилегий.
Расшифровка последнего обновления безопасности Adobe
Наиболее важные исправления в этом обновлении безопасности Adobe относятся к категории APSB25-71, которая устраняет несколько критических уязвимостей в Adobe Commerce, Magento Open Source и Commerce B2B. В этой категории выделено шесть различных уязвимостей CVE, затрагивающих версии 2.4.8‑p1 и более ранние. К ним относятся:
- CVE‑2025‑49554: Неправильная проверка входных данных (DoS)
- CVE‑2025‑49555: уязвимость CSRF (повышение привилегий)
- CVE‑2025‑49556: Обход аутентификации (чтение произвольной файловой системы)
- CVE‑2025‑49557: Хранимый XSS (повышение привилегий)
- CVE‑2025‑49558 и CVE‑2025‑49559: TOCTOU и уязвимости обхода пути ( обход функций безопасности )
Компания Adobe присвоила этим уязвимостям приоритет 2, настоятельно рекомендуя пользователям немедленно обновиться, чтобы снизить риск их эксплуатации. Исправленные версии теперь доступны до версий 2.4.8‑p2 и 2.4.7‑p7 для Commerce и до версии 1.5.2‑p2 для Commerce B2B.
Продукты Substance 3D сильно пострадали
Значительная часть уязвимостей Adobe была обнаружена в линейке продуктов Substance 3D, включая Viewer, Modeler, Painter, Sampler и Stager, в бюллетенях APSB25-72, 76, 77, 78 и 81. К ним относятся критические ошибки выполнения кода, вызванные переполнением буфера в куче и записью за пределами выделенной памяти.
Основные CVE в этой категории:
- CVE‑2025‑49560 и CVE‑2025‑49569 (Substance 3D Viewer)
- CVE‑2025‑49571 – CVE‑2025‑49573 и CVE‑2025‑54186 – 54235 (Substance 3D Modeler)
- CVE‑2025‑54187 – CVE‑2025‑54195 (Substance 3D Painter)
- CVE‑2025‑54205 (Substance 3D Sampler)
- CVE‑2025‑54222 и CVE‑2025‑54237 (Substance 3D Stager)
Эти уязвимости в основном связаны с небезопасными операциями с памятью, что создаёт риск сбоев, повреждения данных и удалённого выполнения кода . Уровень приоритета для этих продуктов — 3, что означает необходимость важных, но менее срочных действий. Тем не менее, обновления всё равно настоятельно рекомендуются.
Популярные инструменты для творчества также пострадали
Adobe Illustrator (APSB25‑74)
В Illustrator 2024 и 2025 обнаружено несколько серьезных ошибок, в том числе:
- CVE‑2025‑49563: Запись за пределами допустимого диапазона
- CVE‑2025‑49564: переполнение буфера в стеке
- CVE‑2025‑49567: разыменование нулевого указателя (DoS)
- CVE‑2025‑49568: Использование после освобождения (выполнение кода)
Пользователям настоятельно рекомендуется обновиться до Illustrator 2025 версии 29.7 или более поздней и до Illustrator 2024 версии 28.7.9 или более поздней.
Adobe Photoshop (APSB25‑75)
Критическая ошибка записи за пределами выделенного буфера памяти (CVE‑2025‑49570) в Photoshop 2025 и 2024 может привести к выполнению произвольного кода. Обновлённые версии доступны под номерами 26.9 и 25.12.4 соответственно.
Adobe Animate (APSB25‑73)
Две уязвимости , включая ошибку использования памяти после освобождения (CVE‑2025‑49561) и утечку памяти (CVE‑2025‑49562), были исправлены в версиях Animate 23.0.13 и 24.0.10.
Adobe InDesign, InCopy и FrameMaker также исправлены
Adobe InDesign (APSB25‑79) и InCopy (APSB25‑80) получили несколько критических исправлений, касающихся переполнений кучи, ошибок использования памяти после освобождения и записи за пределами выделенного буфера памяти.
Исправления InCopy:
- CVE-2025-54215 – CVE-2025-54223: Все критические уязвимости позволяют выполнить произвольный код
- Затронутые версии: InCopy 20.4 и 19.5.4, а также более ранние.
- Обновленные версии: 20.5 и 19.5.5
Исправления InDesign:
- CVE-2025-54206 – CVE-2025-54228: Критические проблемы, связанные с памятью
- Обновления доступны через Creative Cloud или через каналы ручного обновления.
FrameMaker (APSB25‑83) также был обновлён для исправления критических ошибок использования памяти после освобождения (CVE‑2025‑54229–54232) и утечки памяти (CVE‑2025‑54233). Обновления относятся к версиям 2020 и 2022 годов.
Adobe Dimension получает скромное, но необходимое исправление
APSB25‑84 устраняет единственную серьёзную уязвимость утечки памяти в Adobe Dimension (CVE‑2025‑54238). Хотя известных эксплойтов для неё пока нет, уязвимость всё ещё требует принятия мер. Пользователям Windows и macOS следует перейти на версию 4.1.4 .
Известных случаев взлома нет, но риски остаются
Организация подчеркнула, что ей неизвестно о каких-либо активных эксплойтах уязвимостей, раскрытых в этом обновлении безопасности Adobe. Тем не менее, компания настоятельно рекомендует немедленно обновиться до исправленных версий.
Такие уязвимости, как переполнение буфера, неправильная проверка входных данных и проблемы использования памяти после освобождения, по-прежнему представляют серьезную проблему, даже если они еще не нашли реального применения.
Вклад в исследования
В обнаружении и ответственном раскрытии этих уязвимостей Adobe приняли участие несколько независимых исследователей и специалистов по безопасности . Среди них:
- Фрэнсис Прованшер (prl)
- Джони (jony_juice)
- yjdfy
- voidexploit
- kaiksi, blaklis, akashhamal0x01, wohlie, and others
Их усилия были отмечены в официальных бюллетенях Adobe.
Заключение
Августовское обновление безопасности Adobe, в котором устранено более 60 уязвимостей, является одним из самых обширных циклов обновлений безопасности за последние месяцы. Хотя на момент написания статьи ни одна из уязвимостей не была публично эксплуатирована, характер многих из них, особенно тех, которые позволяют выполнять код, означает, что организациям и частным лицам не следует откладывать установку необходимых исправлений.
Администраторам, управляющим корпоративными развертываниями, рекомендуется использовать Adobe Admin Console или Creative Cloud Packager для установки обновлений на все системы. Для отдельных пользователей приложение Creative Cloud Desktop предоставляет доступ к последним защищённым версиям.
About The Author
