Компания Adobe выпустила экстренное обновление безопасности для Acrobat Reader, чтобы устранить уязвимость, отслеживаемую как CVE-2026-34621, которая использовалась в атаках нулевого дня как минимум с декабря.
Эта уязвимость позволяет вредоносным PDF-файлам обходить ограничения песочницы и вызывать привилегированные JavaScript API, что потенциально может привести к произвольному выполнению кода. Эксплойт, замеченный в атаках, дает возможность читать и похищать произвольные файлы. Для этого не требуется никакого взаимодействия с пользователем, кроме открытия вредоносного PDF-файла.
В частности, эксплойт злоупотребляет такими API, как util.readFileIntoStream() для чтения произвольных локальных файлов и RSS.addFeed() для эксфильтрации данных и загрузки дополнительного кода, контролируемого злоумышленником.
Проблема безопасности была обнаружена Хайфэем Ли, основателем системы обнаружения эксплойтов EXPMON, после того как кто-то представил на анализ образец PDF с именем “yummy_adobe_exploit_uwu.pdf“.
Хайфэй Ли утверждает, что образец был отправлен в EXPMON 26 марта, но за три дня до этого он был загружен на VirusTotal, где на тот момент только пять из 64 поставщиков решений безопасности пометили его как вредоносный.
Исследователь решил вручную изучить проблему после того, как система обнаружения эксплойтов активировала функцию “глубокое обнаружение” — расширенную возможность, которую Хайфэй Ли специально разработал для Adobe Reader, как он сообщил в посте в блоге на прошлой неделе.
Исследователь безопасности Gi7w0rm заметил атаки в реальных условиях, использующие документы на русском языке с приманками, связанными с нефтегазовой отраслью.
После получения отчета Ли компания Adobe в выходные опубликовала бюллетень безопасности, присвоив уязвимости трекер CVE-2026-34621.
Хотя изначально уязвимости был присвоен критический рейтинг (9.6) с вектором сетевой атаки, Adobe впоследствии снизила степень серьезности до 8.6 после изменения вектора на локальный.
Вендор перечислил следующие затронутые продукты для Windows и macOS:
- Acrobat DC версий 26.001.21367 и ранее (исправлено в версии 26.001.21411)
- Acrobat Reader DC версий 26.001.21367 и ранее (исправлено в версии 26.001.21411)
- Acrobat 2024 версий 24.001.30356 и ранее (исправлено в версии 24.001.30362 для Windows и версии 24.001.30360 для Mac)
Adobe рекомендует пользователям указанного выше ПО обновить свои приложения через меню «Справка» > «Проверить наличие обновлений», что инициирует автоматическое обновление.
В качестве альтернативы пользователи могут загрузить установщик Acrobat Reader с официального портала ПО Adobe.
В бюллетене не было указано обходных путей или мер смягчения последствий, поэтому применение обновлений безопасности является единственной рекомендуемой мерой.
Однако пользователям всегда следует с осторожностью относиться к PDF-файлам, полученным из нежелательных источников, и открывать их в изолированных средах при возникновении подозрений.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
