Adobeは、WindowsおよびmacOS向けのAcrobatおよびReaderの重大なゼロデイ脆弱性に対処するための緊急セキュリティアップデートをリリースしました。
Adobeのセキュリティ情報APSB26-43によると、この脆弱性は現在、野生下で悪用されており、同社からプライオリティ1レーティングが与えられています。
CVE-2026-34621として指定されているこの脆弱性は、オブジェクトプロトタイプ属性の不適切な制御による修正であり、一般的にプロトタイプポリューション脆弱性(CWE-1321)として知られています。
GitHubアドバイザリーデータベースの詳細に基づいて、この弱点はアプリケーションがオブジェクト内で初期化する属性を指定する上流入力を受け取るが、コアプロトタイプへの修正を制御できない場合に発生します。
悪用に成功した場合、この一連のイベントは現在のユーザーのコンテキスト内で任意のコード実行につながる可能性があります。
この悪用をトリガーするには、脅威アクターはユーザーの相互作用に依存する必要があります。被害者は特別に細工された悪意のあるPDFファイルを開く必要があります。
最初にネットワーク攻撃ベクトルで9.6として評価されましたが、Adobeは2026年4月12日にCVSSベーススコアを8.6に改正し、攻撃ベクトルをローカル(AV:L)に正式に変更しました。
EXPMON創業者のHaifei Liによる報告によると、脆弱性の発見についての正式なクレジットを受けた彼は、この脆弱性により攻撃者は侵害されたPDFドキュメント内に直接埋め込まれた悪意のあるJavaScriptを実行できることを報告しています。
脅威インテリジェンスは、このゼロデイ脆弱性が2025年後半以降の継続的な攻撃で利用されている可能性があることを示しています。
次のソフトウェアビルドを実行しているユーザーおよび組織は、現在、この高リスク脅威にさらされています:
- Acrobat DC(継続トラック):WindowsおよびmacOS向けバージョン26.001.21367以前
- Acrobat Reader DC(継続トラック):WindowsおよびmacOS向けバージョン26.001.21367以前
- Acrobat 2024(クラシック2024トラック):WindowsおよびmacOS向けバージョン24.001.30356以前
軽減戦略
このゼロデイバグの確認された積極的な悪用を考慮すると、組織は直ちにパッチの適用を優先する必要があります。Adobeは環境を保護するための以下の即時軽減戦略を推奨しています。
エンドユーザーは「ヘルプ>アップデートを確認」に移動して、ソフトウェアインストールを手動でアップデートする必要があります。
自動更新が有効になっているシステムは、ユーザーの介入なしに重大なパッチを受け取ります。ユーザーは公式のAcrobat Readerダウンロードセンターから完全なインストーラーを直接ダウンロードすることもできます。
大規模なエンタープライズ環境を管理するIT管理者向けに、Adobeは標準的なデプロイメント方法論を使用して更新されたインストーラーをデプロイすることをお勧めします。
Windowsネットワークの場合、管理者はAIP-GPO、ブートストラッパー、またはSCUP/SCCMを使用して更新をプッシュする必要があります。macOS環境の場合、更新はApple Remote DesktopとSSHを使用して配布する必要があります。
この脆弱性を解決する完全にパッチが適用されたバージョンは、継続トラックの26.001.21411、Windowsの場合のAcrobat 2024の24.001.30362、macOSの場合のAcrobat 2024の24.001.30360です。
翻訳元: https://gbhackers.com/adobe-fixes-exploited-zero-day-in-acrobat-reader/
