Про уязвимость Remote Code Execution - Adobe Reader (CVE-2026-34621). Adobe Acrobat Reader (с 2003 по 2015 "Adobe Reader") - это бесплатная программа от компании Adobe для просмотра PDF-файлов. Доступны версии под Windows, macOS, Android, iOS. Уязвимость удаленного выполнения кода в Adobe Acrobat для Windows и macOS вызвана неправильной обработкой атрибутов прототипа объекта (CWE-1321 - "Prototype Pollution"). Эксплуатация уязвимости позволяет злоумышленнику добиться выполнения произвольного кода на системе при открытии жертвой специально подготовленного документа.
👾 Об уязвимости и существовании эксплоита 7 апреля сообщил исследователь Haifei Li, разработчик EXPMON - системы на основе песочницы для обнаружения файловых zero-day и труднообнаруживаемых эксплоитов. 26 марта некто отправил PDF образец yummy_adobe_exploit_uwu.pdf в публичный сервис EXPMON.
Сообщалось, что по результатам анализа образец ведет себя как начальный эксплоит (initial exploit) с возможностью сбора и передачи злоумышленнику различных типов информации, потенциально с последующим выполнением произвольного кода (RCE) и эксплоитами выхода из песочницы (SBX). Он использует zero-day в Adobe Reader, которая позволяет ему вызывать привилегированные API Acrobat. Было подтверждено, что эксплоит работал на актуальной версии Acrobat. Конкретно он вызывает API "util.readFileIntoStream()", позволяющий читать произвольные файлы (доступные для изолированного процесса Reader) в локальной системе. Таким образом зловред может собирать широкий спектр информации с локальной системы и красть данные локальных файлов. Вызов API "RSS.addFeed()" используется для отправки информации, собранной с локальной системы, на удалённый сервер и получения дополнительного JavaScript-кода для выполнения. Такой механизм позволяет злоумышленнику собирать пользовательскую информацию, красть локальные данные, выполнять продвинутый "фингерпринтинг" и развивать атаку. Если цель соответствует условиям атакующего, он может доставить дополнительный эксплойт для достижения RCE или SBX. Однако во время тестов исследователю не удалось получить указанный дополнительный эксплойт - сервер был доступен, но не отвечал. Это может быть связано с различными причинами. Например, локальные тестовые окружения могли не соответствовать специфическим критериям атакующего.
8 апреля на Virus Total был обнаружен ещё один образец зловредного файла, загруженный 28 ноября 2025 года, что показывает, что эта 0day/APT кампания продолжается как минимум 4 месяца.
9 апреля исследователь Gi7w0rm сообщил о признаках эксплуатации уязвимости в реальных атаках, в которых использовались зловредные документы на русском языке с приманками, связанными с нефтегазовой отраслью России. По всей видимости в таргетированных атаках на российские организации.
13 апреля уязвимость была добавлена в CISA KEV.
⚙️ Бюллетень безопасности Adobe был опубликован 12 апреля. Уязвимы версии Acrobat DC 26.001.21367 и более ранние, Acrobat Reader DC 26.001.21367 и более ранние, Acrobat 2024 24.001.30356 и более ранние. Уязвимость исправлена в Acrobat DC 26.001.21411, Acrobat Reader DC 26.001.21411, Acrobat 2024 Windows: 24.001.30362/Mac: 24.001.30360.
Adobe рекомендует пользователям уязвимых версий обновить свои приложения через "Help > Check for Updates", что запускает автоматическое обновление. В качестве альтернативы пользователи могут загрузить установщик Acrobat Reader с официального портала Adobe.
В бюллетене отмечается, что Adobe известно об эксплуатации уязвимости CVE-2026-34621 вживую.
🛠 Публичных эксплоитов пока не наблюдается.
💡 К PDF-файлам, полученным из непроверенных или неожиданных источников, следует всегда относиться с осторожностью и открывать их в изолированных (sandboxed) средах. 😉
