Adobe устранила критический баг в Acrobat Reader

Компания Adobe выпустила экстренное обновление безопасности для Acrobat Reader, устраняющее уязвимость CVE-2026-34621, которая использовалась в атаках нулевого дня как минимум с декабря.

Уязвимость позволяет вредоносным PDF-файлам обходить ограничения песочницы и вызывать привилегированные API JavaScript, что потенциально может привести к выполнению произвольного кода. Она помогает читать и красть произвольные файлы. Для этого не требуется никакого взаимодействия с пользователем, кроме открытия вредоносного PDF-файла.

В частности, уязвимость использует такие API, как util.readFileIntoStream() для чтения произвольных локальных файлов и RSS.addFeed() для извлечения данных и получения дополнительного кода, контролируемого злоумышленником. Проблема безопасности была обнаружена Хайфэй Ли, основателем системы обнаружения эксплойтов EXPMON, после того, как кто-то отправил на анализ образец PDF-файла под названием "yummy_adobe_exploit_uwu.pdf".

Хайфэй Ли утверждает, что кто-то отправил образец в EXPMON 26 марта, но в VirusTotal он попал за три дня до этого, и только пять из 64 поставщиков решений в области безопасности пометили его как вредоносный. Исследователь решил провести ручное расследование после того, как система обнаружения эксплойтов активировала функцию «глубокого обнаружения» — продвинутую функцию, специально разработанную Хайфэй Ли для Adobe Reader.

Исследователь безопасности Gi7w0rm обнаружил в сети атаки, использующие русскоязычные документы с приманками из нефтегазовой отрасли. После получения сообщения от Ли компания Adobe опубликовала бюллетень безопасности в выходные, присвоив уязвимости номер CVE-2026-34621.

Хотя первоначально уязвимость была оценена как критическая (9.6) с сетевым вектором атаки, Adobe