Adobe łata 29 podatności w InDesign, InCopy, Photoshop, Illustrator, Pass, Substance 3D Stager i Format Plugins (Patch Tuesday

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja luki
2 W skrócie
3 Kontekst / historia / powiązania
4 Analiza techniczna / szczegóły luki
5 Praktyczne konsekwencje / ryzyko
6 Rekomendacje operacyjne / co zrobić teraz
7 Różnice / porównania z innymi przypadkami (2025)
8 Podsumowanie / kluczowe wnioski
9 Źródła / bibliografia

Wprowadzenie do problemu / definicja luki

11 listopada 2025 r. Adobe wydało comiesięczne aktualizacje zabezpieczeń usuwające 29 podatności w pakiecie aplikacji kreatywnych. Poprawki dotyczą: InDesign (APSB25-106), InCopy (APSB25-107), Photoshop (APSB25-108), Illustrator (APSB25-109), Illustrator na iPad (APSB25-111), Adobe Pass (APSB25-112), Substance 3D Stager (APSB25-113) oraz Adobe Format Plugins (APSB25-114). W większości chodzi o luki krytyczne prowadzące do RCE po przetworzeniu złośliwych plików/formatów. Adobe klasyfikuje je priorytetem 3 (niska spodziewana eksploatacja), a firma nie ma dowodów na aktywne wykorzystanie tych błędów w momencie publikacji.

W skrócie

Zakres: 8 biuletynów, 29 CVE (Creative Cloud/Format Plugins, aplikacje DTP/grafika, SDK Pass).
Najpoważniejsze skutki: RCE (InDesign, InCopy, Photoshop, Illustrator, Stager, Format Plugins) i security feature bypass w Adobe Pass (SDK Android).
Status exploitów: brak informacji o „in the wild” dla listopadowych biuletynów; priorytet 3 dla wszystkich.
Kontekst ryzyka: w październiku Adobe potwierdzało wykorzystanie w praktyce luki w Adobe Commerce/Magento (CVE-2025-54236) oraz publiczne PoC dla AEM Forms (CVE-2025-54253/54254). To inne produkty, ale pokazuje zainteresowanie ekosystemem Adobe.

Kontekst / historia / powiązania

Adobe od lat publikuje paczki poprawek w rytmie Patch Tuesday. W 2025 r. widzieliśmy już serie aktualizacji m.in. dla ColdFusion, Commerce oraz AEM Forms; część miała PoC lub realne wykorzystanie. Dzisiejsza paczka dotyczy przede wszystkim klienta końcowego (DTP/grafika). Trend Micro ZDI podkreśla, że w listopadzie jest 8 biuletynów i 29 CVE, z których część (Format Plugins) pochodzi od ich badaczy.

Analiza techniczna / szczegóły luki

Produkty i biuletyny

InDesign – APSB25-106: luki krytyczne → RCE; wersje naprawcze ID21.0 / 20.5.1 (Win/macOS). Priorytet 3.
InCopy – APSB25-107: krytyczne RCE (Win/macOS). Priorytet 3.
Photoshop – APSB25-108: heap-based buffer overflow → RCE; CVE-2025-61819 (CVSS 7.8). Priorytet 3.
Illustrator – APSB25-109: krytyczne RCE; naprawa m.in. do 29.8.3 i 30.0. Priorytet 3.
Illustrator (iPad) – APSB25-111: krytyczne RCE. Priorytet 3.
Adobe Pass (Android SDK) – APSB25-112: incorrect authorization / security feature bypass, CVE-2025-61830 (CVSS 7.1), aktualizacja do 3.8.0. Priorytet 3.
Substance 3D Stager – APSB25-113: krytyczne RCE. Priorytet 3.
Adobe Format Plugins – APSB25-114: wiele błędów, m.in. CWE-122 heap overflow → RCE; przykładowe CVE: CVE-2025-61837, CVE-2025-61838; aktualizacja do 1.1.2. Priorytet 3.

Klasy podatności (przekrojowo)

Memory corruption / heap overflow (CWE-122) → wykonanie kodu przy parsowaniu plików (PSD/AI/INDD/format plugins).
Incorrect authorization / security feature bypass (SDK Pass) → eskalacja możliwości w przepływach uwierzytelniania OTT/TVE.

Priorytet Adobe (co oznacza „3”?)

Priorytet 3 wg Adobe oznacza niski poziom oczekiwanej eksploatacji i brak pilności „typu 0-day”, ale zalecane jest zaplanowane wdrożenie. To nie jest ocena CVSS, lecz priorytetu wdrożeniowego.

Praktyczne konsekwencje / ryzyko

Wejścia atakujące: złośliwe pliki .indd / .icml / .psd / .ai lub rzadkie formaty obsługiwane przez Format Plugins (np. import/eksport). Atakujący może dostarczyć plik e-mailem/OneDrive/SharePoint, w repozytorium assetów, lub przez łańcuch dostaw (stock, paczki template’ów). Jedno „otwarcie” przez designera może wystarczyć, by uzyskać wykonanie kodu w kontekście użytkownika.

Środowiska wysokiego ryzyka: agencje kreatywne, działy marketingu, prepress, wydawnictwa – zwykle z szerokim spektrum zewnętrznych plików i krótkimi SLA.

Ryzyko wtórne: po inicjalnym RCE możliwe przemieszczenie boczne (tokeny SSO w pamięci, kradzież materiałów pod NDA, implanty w pluginach/skriptach CEP/UXP).

SDK Pass: dla zespołów mobile/OTT – błąd autoryzacji może naruszać przepływy logowania w aplikacjach TVE, prowadząc do obejścia kontroli dostępu.

Rekomendacje operacyjne / co zrobić teraz

A. Inwentaryzacja i szybka walidacja wersji

Windows (PowerShell):

# Sprawdź zainstalowane wersje kluczowych aplikacji Adobe (CC)
$paths = @("Adobe InDesign 2025","Adobe InCopy 2025","Adobe Photoshop 2025","Adobe Illustrator 2025")
$base = "HKLM:\SOFTWARE\Adobe"
Get-ChildItem $base -Recurse | Where-Object { $paths -contains $_.PSChildName } |
  ForEach-Object {
    $name = $_.PSChildName
    $ver = (Get-ItemProperty $_.PSPath).Version
    [pscustomobject]@{Product=$name;Version=$ver}
  }

macOS:

# przykładowo
mdls -name kMDItemVersion "/Applications/Adobe InDesign 2025/Adobe InDesign 2025.app"
mdls -name kMDItemVersion "/Applications/Adobe Illustrator 2025/Adobe Illustrator 2025.app"

Porównaj z wersjami docelowymi z biuletynów (np. InDesign ID21.0/20.5.1, Illustrator ≥29.8.3/30.0, Photoshop ≥26.9, Format Plugins 1.1.2, Adobe Pass SDK 3.8.0).

B. Dystrybucja aktualizacji

Środowiska zarządzane: Adobe Admin Console / pakiety wdrożeniowe (CC dla firm) – „self-service” wyłączyć do czasu aktualizacji; rollout falami (pilot → szerokie).
Użytkownicy końcowi: Creative Cloud Desktop → „Updates”. W działach o wysokiej ekspozycji na pliki zewnętrzne nadać wyższy priorytet.
Zespoły mobile: zaktualizować Adobe Pass Authentication Android SDK do 3.8.0, przetestować regresje, wydać hotfix w sklepach.

C. Tymczasowe ograniczenia ryzyka (jeśli nie możesz zaktualizować „od ręki”)

Segmentacja stanowisk DTP (VLAN/ACL), aplikacja listy dozwolonych dla wtyczek i skryptów (UXP/CEP).
Odcinanie makr/automatyzacji w przepływach importu plików od nieznanych kontrahentów.
Sanityzacja plików: konwersja przez „bezpieczniejszy” łańcuch (np. otwarcie w świeżym kontenerze/VDI).
AppLocker/WDAC: zezwól wyłącznie na podpisane binaria Adobe z aktualnych wersji.

D. Detekcje i telemetry (SOC)

IOA dla RCE w aplikacjach Adobe:

Niespodziewane child-processy od InDesign.exe / Photoshop.exe / Illustrator.exe (np. powershell.exe, wscript.exe, cmd.exe).
Wzorce DLL search order hijack/side-loading w katalogach profilu użytkownika.
Nietypowe wywołania CreateRemoteThread, VirtualAllocEx, z procesów Adobe do innych procesów użytkownika.

Przykładowe reguły (Sigma – uproszczone):

title: Adobe App Spawns Scripting Interpreter
logsource: { category: process_creation, product: windows }
detection:
  parent:
    Image|endswith:
      - '\InDesign.exe'
      - '\Photoshop.exe'
      - '\Illustrator.exe'
  child:
    Image|endswith:
      - '\powershell.exe'
      - '\wscript.exe'
      - '\cmd.exe'
  condition: parent and child
level: high

Splunk (Process child):

index=sysmon EventCode=1
(ParentImage="*\\InDesign.exe" OR ParentImage="*\\Photoshop.exe" OR ParentImage="*\\Illustrator.exe")
(Image="*\\powershell.exe" OR Image="*\\wscript.exe" OR Image="*\\cmd.exe")
| stats count by _time, host, ParentImage, Image, CommandLine

Dla Pass SDK (Android): testy bezpieczeństwa przepływów auth (wrong-issuer, token reuse, forged state), weryfikacja CVE-2025-61830 i aktualizacji zależności do 3.8.0.

E. Polityki i szkolenia

Edukacja zespołów kreatywnych: nie otwieramy niezweryfikowanych paczek projektów i presetów/wtyczek.
Wymuszaj aktualizacje przy starcie aplikacji (przez narzędzia MDM/Endpoint Management).

Różnice / porównania z innymi przypadkami (2025)

Commerce/Magento (IX–X 2025): potwierdzone wykorzystanie w praktyce (CVE-2025-54236) – wysoki priorytet operacyjny dla e-commerce; dzisiejsze biuletyny Creative Cloud nie mają statusu exploited.
AEM Forms (X 2025): publiczne PoC (CVE-2025-54253/54254) – inny segment produktu (serwer), ale sygnał, że atakujący inwestują w ekosystem Adobe.
Dzisiejsze luki: skupione na klientach (desktop/iPad/SDK) i parsowaniu formatów, co preferuje atak plikowy i soc-eng, a nie ataki serwerowe.

Podsumowanie / kluczowe wnioski

Zaktualizuj ASAP: InDesign, InCopy, Photoshop, Illustrator (desktop + iPad), Substance 3D Stager, Format Plugins oraz Adobe Pass SDK.
Skoncentruj się na zespołach pracujących z zewnętrznymi plikami – to oni najczęściej będą wektorem inicjalnym.
Zaplanuj rollout (priorytet 3 ≠ „zignorować”): okno serwisowe w tym tygodniu, telemetry + blokady child-processów.
Mobile/OTT: wydaj update SDK Pass (3.8.0) i przetestuj przepływy auth.

Źródła / bibliografia

SecurityWeek: przegląd listopadowych łatek („Adobe Patches 29 Vulnerabilities”, 11 listopada 2025). (SecurityWeek)
Adobe PSIRT – biuletyny APSB (11 listopada 2025):
- InDesign APSB25-106. (Adobe Help Center)
- InCopy APSB25-107. (Adobe Help Center)
- Photoshop APSB25-108. (Adobe Help Center)
- Illustrator APSB25-109. (Adobe Help Center)
- Illustrator (iPad) APSB25-111. (Adobe Help Center)
- Adobe Pass (Android SDK) APSB25-112. (Adobe Help Center)
- Substance 3D Stager APSB25-113. (Adobe Help Center)
- Format Plugins APSB25-114. (Adobe Help Center)
Trend Micro Zero Day Initiative – Monthly review: liczba biuletynów/CVE i wskazanie na Format Plugins. (Zero Day Initiative)
Definicja priorytetów Adobe: wyjaśnienie, czym jest „Priority 3”. (Adobe Help Center)