Adobe ha lanzado una actualización de seguridad crítica para sus populares ilustradores de software de diseño, abordando una vulnerabilidad severa que permite a los atacantes ejecutar código arbitrario en los sistemas de destino.
Boletines de seguridad detallan las vulnerabilidades de desbordamiento del búfer basado en el montón que afectan múltiples versiones de software en las plataformas de Windows y MacOS.
La falla de seguridad identificada como CVE-2025-30330 se ha clasificado como importante con un puntaje base de CVSS de 7.8.
Los investigadores de seguridad clasifican esto como una vulnerabilidad de desbordamiento del búfer basada en el montón (CWE-122).
“Esta vulnerabilidad permite que un atacante ejecute código arbitrario en el contexto del usuario actual”, explica Adobe Security Bulletin.
El vector técnico de la vulnerabilidad se describe como CVSS: 3.1/AV: L/AC: L/PR: N/UI: R/S: U/C: H/I: H: H.
Según los expertos en ciberseguridad, la explotación de la vulnerabilidad requiere interacción del usuario. En particular, la víctima debe abrir archivos maliciosos creados por el atacante.
Esto representa un vector de ataque común en el que un actor malicioso distribuye archivos de ilustradores especialmente creados a través de archivos adjuntos de correo electrónico, sitios web comprometidos u otros medios.
Un atacante remoto puede engañar a la víctima para que abra un archivo especialmente creado, activando un desbordamiento del búfer basado en el montón y ejecutar código arbitrario en el sistema de destino.
Adobe ha reconocido a los investigadores de seguridad que solo han sido identificados como “YJDFY” para descubrir e informar vulnerabilidades.
Versiones de software afectadas
La vulnerabilidad afecta las siguientes versiones de Adobe Illustrator:
Windows y macOS para Illustrator 2025 versión 29.3 o anterior. Ilustrador 2024 Versión 28.7.5 o Windows y macOS anteriores. Factores de riesgo El producto Detalles Atected ProductedDobe Illustrator 2025 (≤29.3) Adobe Illustrator 2024 (≤28.7.5) Impactarbitrary Code ExecutionExploit Prererequisitesuser Interaction REBYVICIM debería abrir maliciosa .i/.EPS Filecvs 3.1 puntaje7.8 (crítico)
alivio
Adobe aborda esta vulnerabilidad en la próxima versión actualizada:
Ilustrador 2025 versión 29.4 o superior. Ilustrador 2024 Versión 28.7.6 o superior.
Se recomienda encarecidamente a los usuarios que actualicen su instalación de Illustrator inmediatamente a través del mecanismo de actualización de la aplicación Creative Cloud Desktop. Se requerirá una intervención manual para aquellos que hayan desactivado actualizaciones automáticas.
La compañía dijo que desconoce las hazañas salvajes que se dirigen a la vulnerabilidad, lo que podría cambiar rápidamente a medida que se divulgan los detalles.
Las organizaciones que utilizan Adobe Illustrator implementan una estrategia integral de gestión de parches, deshabilitan actualizaciones automáticas, controlan la programación de implementación y mantienen el conocimiento del usuario sobre el riesgo de abrir archivos de fuentes no confiables.
Los usuarios interesados en la posible explotación deben actualizar su software de inmediato y tener cuidado al abrir archivos de ilustradores de fuentes desconocidas o no confiables.
Cómo los piratas informáticos de simulación de ataque de vulnerabilidad sondean rápidamente sitios web de puntos de entrada: seminario web gratuito
