Adobeは土曜日、数ヶ月間にわたって実世界で悪用されている重大なAcrobatおよびReaderのゼロデイに対する緊急パッチをリリースしました。
この脆弱性にはCVE識別子CVE-2026-34621が割り当てられ、CVSSスコアは9.6です。ソフトウェア大手によると、この欠陥はプロトタイプ属性の不適切に制御された変更に起因し、任意のコード実行に悪用される可能性があります。
WindowsおよびmacOS用のAcrobatおよびReaderが影響を受けます。パッチはAcrobat DCおよびAcrobat Reader DCのバージョン26.001.21411とAcrobat 2024のバージョン24.001.30362および24.001.30360に含まれています。
Adobeのセキュリティアドバイザリはcve-2026-34621が実世界で悪用されていることを確認しています。
同社は脆弱性の報告についてHaifei Liに謝辞を表明しました。Liはfortinet、McAfee、Microsoft、Check Pointで働いた信頼できる研究者です。彼はファイルベースの悪用プログラムを検出するように設計されたサンドボックスシステムであるExpmonの創設者です。
Liはexpmonにアップロードされた洗練されたPDF悪用プログラムを分析している際にこのゼロデイを発見しました。彼が特定した悪用プログラムは情報を盗むように設計されていますが、研究者は初期開示で、悪用プログラムチェーンの後続段階にはリモートコード実行とサンドボックスエスケープが含まれる可能性があると警告しました。
Adobeはcve-2026-34621の悪用は単なる情報開示ではなくコード実行につながる可能性があることを確認しました。
VirusTotalにアップロードされた悪用プログラムサンプルの分析に基づいて、研究者はcve-2026-34621の悪用は2025年11月に始まったと判断しました。
Liは高度な持続的脅威(APT)が攻撃の背後にある可能性が高いと指摘し、Gi7w0rmというオンラインペンネームを使用している脅威インテリジェンスアナリストは注記した悪意のあるPDFはロシア語の誘い文を使用し、ロシアの石油・ガス部門の最近の出来事を参照していました。
サイバーセキュリティコミュニティのより多くのメンバーが悪用プログラムを分析するにつれて、攻撃の背後にある者に関するより多くの情報が今後数日で浮上する可能性があります。
Liは技術的詳細を公開し、その他の者はcve-2026-34621の潜在的な悪用検出を支援するために侵害指標(IoCs)をリリースしています。
翻訳元: https://www.securityweek.com/adobe-patches-reader-zero-day-exploited-for-months/
