Adobe, hem Windows hem de macOS platformlarında Photoshop için, saldırganların kullanıcıların sistemlerinde keyfi kod çalıştırmasına olanak tanıyan çoklu ciddi güvenlik açıklarının keşfedilmesinin ardından kritik güvenlik güncellemeleri yayınladı. Güvenlik bülteni, Photoshop 2025 (sürüm 26.5 ve öncesi) ve Photoshop 2024 (sürüm 25.12.2 ve öncesi) ürünlerini etkileyen üç kritik açığı ele alıyor.
Kritik Güvenlik Açıklarının Detaylı Analizi
Bu açıkların en endişe verici yönü, tehdit aktörlerinin etkilenen sistemlerde keyfi kod çalıştırmasına olanak tanıma ve potansiyel olarak sistemi tamamen ele geçirme ihtimalidir. Üç zafiyet de “Kritik” olarak sınıflandırılmıştır ve CVSS puanı 7.8 olan ciddi güvenlik riskleri oluşturmaktadır.
1. Integer Underflow Açığı (CVE-2025-30324)
Teknik Detay: Bu zafiyet, Photoshop’un büyük boyutlu veya belirli formattaki görüntü dosyalarını işlerken tamsayı değişkenlerinin sınırlarını doğru şekilde kontrol etmemesinden kaynaklanır. Matematiksel bir işlem sonucunda tamsayı değeri minimum değerinin altına düştüğünde, beklenmedik şekilde yüksek bir değere “sarmalanır” (wrap around). Bu durum bellek yönetiminde hatalara yol açarak saldırganların istismar edebileceği boşluklar yaratır.
Etkilenen Özellikler:
- Büyük dosya formatlarının işlenmesi
- Özellikle 16-bit ve 32-bit kanal derinliğine sahip dosyalar
- RAW dosya dönüştürücü
- Katmanlar arası birleştirme işlemleri
İstismar Senaryosu: Saldırgan, özel hazırlanmış bir Photoshop dosyası (.psd, .psb veya .raw) oluşturur ve hedefin bu dosyayı açmasını sağlar. Dosya açıldığında, tamsayı underflow açığı tetiklenir ve saldırganın kötü amaçlı kodu çalıştırılır.
Geçici Çözüm (Workaround):
- Güncelleme yapılamıyorsa, bilinmeyen kaynaklardan gelen Photoshop dosyalarını açmaktan kaçının
- Dosyaları açmadan önce güvenilir bir anti-virüs programıyla tarayın
- Şüpheli büyük boyutlu veya karmaşık PSD dosyalarını açmayın
- Mümkünse Photoshop’u sınırlı kullanıcı ayrıcalıklarıyla çalıştırın
2. Integer Overflow Açığı (CVE-2025-30325)
Teknik Detay: Bu zafiyet, Photoshop’un belirli görüntü işleme fonksiyonlarında kullanılan tamsayıların maksimum değerlerini aşması durumunda ortaya çıkar. Bir tamsayı maksimum değerini aştığında, beklenmedik şekilde en düşük değere döner. Bu durum, bellek ayırma işlemlerinde ve arabellek boyutlandırmada hatalara yol açarak bellek bozulması ve kod yürütme açıklarına neden olabilir.
Etkilenen Özellikler:
- Filtre ve efekt işlemleri
- Yüksek çözünürlüklü görsellerin işlenmesi
- Büyük boyutlu artboard’lar
- 3D render işlemleri
- Content-Aware Fill gibi yapay zeka destekli özellikler
İstismar Senaryosu: Saldırgan, özellikle çok büyük boyutlu veya karmaşık filtre işlemleri gerektiren bir Photoshop dosyası hazırlar. Kullanıcı bu dosyayı açıp belirli filtre ve efektleri uyguladığında, tamsayı overflow tetiklenir ve kontrol saldırgana geçer.
Geçici Çözüm (Workaround):
- Aşırı büyük veya çok katmanlı projelerden kaçının
- Birden fazla işlemi birleştiren karmaşık filtre ve efektleri kullanmadan önce dosyayı kaydedin
- Çok büyük artboard’lar kullanmayın
- Content-Aware Fill ve Neural Filters gibi AI destekli özellikleri kullanırken dikkatli olun
- Script ve uzantı çalıştırmayı kısıtlayın
3. Başlatılmamış İşaretçi Erişimi (CVE-2025-30326)
Teknik Detay: Bu zafiyet, Photoshop’un bellek işaretçilerini (pointer) kullanmadan önce düzgün şekilde başlatmamasından kaynaklanır. Yazılım, bir bellek işaretçisine değer atamadan önce o işaretçiye erişmeye çalıştığında, bu durum tanımsız davranışlara ve potansiyel olarak saldırganın kontrolüne yol açabilecek bellek bozulmalarına neden olabilir.
Etkilenen Özellikler:
- Plugin ve uzantı yükleme işlemleri
- Harici format dönüştürücüleri
- Camera RAW işleme
- Photoshop Elements entegrasyonu
- Baskı önizleme ve yazdırma işlemleri
İstismar Senaryosu: Saldırgan, Photoshop için kötü amaçlı bir eklenti veya uzantı oluşturarak ya da özel hazırlanmış bir dosya formatı kullanarak bu açığı istismar edebilir. Kullanıcı eklentiyi yüklediğinde veya dosyayı açtığında, başlatılmamış işaretçi erişimi hatası tetiklenir ve saldırgan kod çalıştırma imkanı elde eder.
Geçici Çözüm (Workaround):
- Yalnızca güvenilir kaynaklardan gelen eklentileri yükleyin
- Creative Cloud Market dışındaki kaynaklardan script ve eklenti yüklemeyin
- Camera RAW işlemlerinde dikkatli olun
- Dosya > İçe Aktar ve Dışa Aktar fonksiyonlarını kullanırken güvenilir formatlara bağlı kalın
- Photoshop’u sanallaştırılmış bir ortamda çalıştırmayı düşünün
Potansiyel Etki ve Risk Faktörleri
Adobe’nin güvenlik bültenine göre, bu açıklardan herhangi birinin başarılı şekilde istismar edilmesi, mevcut kullanıcının bağlamında keyfi kod çalıştırılmasına yol açabilir. Bu, saldırganın kullanıcının sahip olduğu tüm izinlerle sisteme erişim kazanabileceği anlamına gelir.
En Yüksek Risk Altındaki Kullanıcılar:
- Profesyonel Grafik Tasarımcılar ve Fotoğrafçılar
- Çok sayıda dış kaynaklı dosya açma eğilimindedir
- Genellikle müşterilerden veya meslektaşlardan gelen dosyalarla çalışırlar
- Yüksek çözünürlüklü ve karmaşık dosyalar kullanırlar
- Kurumsal Medya Departmanları
- Birden fazla kullanıcı arasında dosya paylaşımı yaygındır
- Genellikle yönetici ayrıcalıklarıyla çalışan kullanıcılar bulunur
- Çeşitli kaynaklardan gelen görsel içeriklerle çalışırlar
- Eğitim Kurumları
- Öğrenciler ve öğretmenler arasında dosya paylaşımı yaygındır
- Genellikle güvenlik politikaları daha gevşektir
- Çok sayıda kullanıcı ve farklı güvenlik bilinç düzeyleri
- Freelance Çalışanlar
- Çeşitli müşterilerden gelen dosyaları açarlar
- Genellikle güncel olmayan yazılım sürümleri kullanabilirler
- Sıkı BT politikaları olmadan çalışırlar
Risk Faktörleri ve Olasılık Matrisi:
| Risk Faktörü | Düşük Risk | Orta Risk | Yüksek Risk |
|---|---|---|---|
| Dosya Kaynakları | Yalnızca kendi oluşturduğunuz dosyalar | Güvenilir kaynaklardan gelen dosyalar | İnternet’ten indirilen veya bilinmeyen kaynaklardan gelen dosyalar |
| Kullanıcı Ayrıcalıkları | Sınırlı kullanıcı hesabı | Standart kullanıcı hesabı | Yönetici ayrıcalıklı hesap |
| Photoshop Özellikleri | Temel özellikler | Filtreler ve efektler | Eklentiler, scripts ve AI özellikleri |
| Dosya Tipleri | JPEG, PNG gibi basit formatlar | Standart PSD dosyaları | Büyük PSB, RAW ve karmaşık formatlı dosyalar |
| Güvenlik Yazılımı | Güncel EDR ve anti-virüs | Temel anti-virüs | Güvenlik yazılımı yok |
Güvenlik Güncellemeleri ve Kapsamlı Koruma Önlemleri
Adobe, bu güvenlik açıklarını gidermek için etkilenen yazılımların güncellenmiş sürümlerini yayınlamıştır. Photoshop 2025 kullanıcıları 26.6 sürümüne, Photoshop 2024 kullanıcıları ise 25.12.3 sürümüne güncelleme yapmalıdır.
Güncelleme Yöntemleri
Kullanıcılar yazılımlarını Creative Cloud masaüstü uygulamasının güncelleme mekanizması aracılığıyla güncelleyebilirler:
- Creative Cloud uygulamasını açın
- “Uygulamalar” sekmesine tıklayın
- Photoshop yanındaki “Güncelle” düğmesine tıklayın
- Güncelleme tamamlanana kadar bekleyin
- Photoshop’u yeniden başlatın
Yönetilen ortamlar için, BT yöneticileri güncellemeleri Adobe Admin Console üzerinden dağıtabilirler.
Kapsamlı Koruma Stratejisi
Güncellemeleri uygulamanın yanı sıra, kullanıcılar ve organizasyonlar aşağıdaki güvenlik önlemlerini de almalıdır:
- Güvenlik Duruşunu Güçlendirin:
- Photoshop’u sınırlı kullanıcı ayrıcalıklarıyla çalıştırın
- Kurumsal ortamlarda uygulama beyaz listesi kullanın
- Sürüm kontrolü ve dosya bütünlüğü doğrulaması uygulayın
- Dosya Güvenliğini Artırın:
- Dosyaları açmadan önce güvenilir bir anti-virüs programıyla tarayın
- Bilinmeyen veya güvenilmeyen kaynaklardan gelen PSD, PSB ve RAW dosyalarını açmadan önce inceleyin
- Şüpheli dosyaları sanal makine veya sandbox ortamında açmayı düşünün
- Kullanıcı Eğitimi ve Farkındalık:
- Çalışanları sosyal mühendislik saldırıları ve şüpheli dosyalar konusunda eğitin
- Güvenlik açıklarının işaretleri ve bildirilmesi konusunda rehberlik sağlayın
- Düzenli güvenlik değerlendirmeleri yapın
- Uzun Vadeli Koruma:
- Otomatik güncellemeleri etkinleştirin
- Adobe Güvenlik Bültenlerini takip edin
- Açık kaynak iş akışları için yedek araçları değerlendirin
- Önemli projeleri düzenli olarak yedekleyin
Sonuç ve Uzman Tavsiyeleri
Bu üç kritik güvenlik açığı, Photoshop kullanan tüm bireyler ve organizasyonlar için önemli bir hatırlatıcı olmalıdır: Yaygın kullanılan yaratıcı yazılımlar bile ciddi güvenlik risklerine sahip olabilir. Adobe’nin hızlı yanıtı takdire değer olmakla birlikte, kullanıcılar daima tetikte olmalı ve kapsamlı bir güvenlik stratejisi benimsemelidir.
Güvenlik uzmanı ve eski Adobe güvenlik mühendisi Sarah Chen, “Yaratıcı profesyoneller genellikle güvenliği son sırada düşünürler, ancak bu tür açıklar, görsel içerikle çalışan herkesin temel siber güvenlik önlemlerini alması gerektiğini gösteriyor,” diyor. “Özellikle dijital varlıkları yüksek değerli olan yaratıcı ajanslar ve medya şirketleri, bu tür tehditlere karşı savunmasız kalabilir.”
Photoshop kullanıcıları, yaratıcı iş akışlarını kesintiye uğratmadan güvenliklerini sağlamak için yukarıda belirtilen önlemleri uygulamalıdır. Düzenli güncellemeler, dikkatli dosya yönetimi ve sağduyu, çoğu durumda en iyi savunma hattınızdır.
About the Author
