В Adobe Reader пять месяцев была активная уязвимость нулевого дня
3 мин
243
Компания Adobe выпустила экстренный патч для Acrobat Reader. Он закрывает уязвимость нулевого дня CVE-2026-34621, которую активно использовали в целевых атаках как минимум с декабря 2025 года. Первые случаи эксплуатации могли произойти ещё в ноябре.
Компания оценила баг в 8,6 баллов из 10 по шкале оценки уязвимостей CVSS. Результат первоначальной оценки составил 9,6, но рейтинг снизили после уточнения деталей. Выяснилось, что для успешной атаки жертва должна открыть файл локально, а не удалённо через сеть.
Уязвимость позволяет обойти песочницу и запустить вредоносный JavaScript при открытии специально подготовленного PDF. Корень проблемы — в prototype pollution, классической JS-уязвимости. Используя её, атакующий может менять свойства объектов и манипулировать поведением приложения. В результате ему удаётся получить доступ к привилегированным API, локальным файлам и возможность выполнить произвольный код от имени залогиненного пользователя.
Исследователи проанализировали подозрительный PDF-образец, загруженный на платформу обнаружения эксплойтов. 12 апреля Adobe подтвердила возможность выполнения произвольного кода, а не просто утечки данных.
Первый анализ показал, что эксплойт использует функцию util.readFileIntoStream для доступа к локальным файлам. Для извлечения данных или загрузки дополнительных вредоносных компонентов задействуется RSS.addFeed. При попадании в VirusTotal образец определили как вредонос только 5 из 64 антивирусов.
Специалисты называют кампанию с использованием уязвимости высокосложной, потому что методы и выбор целей характерны для государственного шпионажа. Приманки в файлах ссылались на текущие события в российском нефтегазовом секторе. Эксперты отмечают, что приманки с российской нефтегазовой тематикой и доставка пейлоада (полезная нагрузка) в две стадии указывают на охоту за высокоценными целями. Организациям в энергетике, госсекторе и оборонной промышленности рекомендуют установить патч немедленно, даже если нет признаков компрометации. Также стоит проверить активность процессов Adobe Reader и исходящие соединения начиная с ноября 2025 года.
Вредоносные PDF снимают цифровые отпечатки заражённых систем и обеспечивают связь с инфраструктурой атакующих. Вторую стадию полезной нагрузки получали только системы, соответствующие заданным критериям. Это позволяет классифицировать случившееся именно как таргетированную кампанию, а не массовую рассылку.
Американское агентство CISA добавило уязвимость в каталог KEV 13 апреля 2026 года. Федеральным агентствам США дали дедлайн до 27 апреля на установку обновлений. Adobe подтвердила, что этот вариант остаётся единственным и временных решений нет. Фиксы выпустили для Windows и macOS. Обновления доступны для Acrobat DC, Acrobat Reader DC и Acrobat 2024.
