Adobeは、ワイルドで積極的に悪用されている重大なゼロデイ脆弱性にパッチを当てるための緊急のセキュリティアップデートをリリースしました。このアップデートはWindows及びmacOSシステムのAdobe AcrobatとAcrobat Readerに影響します。
このアップデートは、2026年4月11日にセキュリティ速報APSB26-43で公開されており、CVE-2026-34621として追跡される脆弱性を修正しており、この脆弱性は攻撃者が脆弱性のあるシステムで任意のコードを実行することを可能にするものです。
Adobeによると、この脆弱性はオブジェクトプロトタイプ属性の不適切に制御された変更(CWE-1321)によって引き起こされており、これはプロトタイプ汚染問題の一種です。
このバグは悪意を持って作成されたPDFドキュメントによって悪用される可能性があり、Acrobat ReaderまたはAcrobat DCの脆弱性のあるバージョンで開かれると、攻撃者がログインしているユーザーの権限で任意のコードを実行することを可能にします。
この欠陥はCVSSベーススコア8.6(CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H)で重大と評価されており、ローカル攻撃ベクトルと最小限のユーザー操作の組み合わせで成功した悪用には十分であることを示しています。
Adobeは、この脆弱性がすでにワイルドで積極的に悪用されていることを確認しており、即座のパッチ適用が不可欠となっています。
このセキュリティ脆弱性はWindows及びmacOS上の次の製品バージョンに影響します:
ユーザーとエンタープライズ管理者は、脅威を軽減するためにパッチ適用されたバージョンにアップグレードすることをお勧めします:
Adobeは詳細な侵害の兆候や特定の悪用ベクトルを開示していませんが、アクティブな悪用レポートから、攻撃者が開いた時に脆弱性ペイロードをトリガーするように設計された悪意のあるPDFルアーを配布している可能性があることがわかります。
Adobeはこのアップデートを優先度1として分類しており、脆弱性が悪用されており、アップデートをできるだけ早くデプロイすべきであることを意味しています。
このゼロデイは、脅威アクターが広く使用されているPDFリーダーを継続的にターゲットにしていることを示す別の事例です。
Acrobat Readerの大規模なユーザーベースを考えると、ソフトウェアで悪用された脆弱性はしばしば高価値の攻撃機会に変わります。
ユーザーと組織は、潜在的な攻撃をブロックし、継続的な保護を確保するために、最新のアップデートをすぐに適用することを強く促されています。
翻訳元: https://cyberpress.org/adobe-patches-acrobat-reader-zero-day-vulnerability/