Adobeは、2025年11月から野生で悪用されているゼロデイ脆弱性(CVE-2026-34621)に対するAdobe Acrobat Reader用の緊急セキュリティアップデートをリリースしました。
CVE-2026-34621について
CVE-2026-34621は、重大なプロトタイプ汚染脆弱性です。これはJavaScriptで発生する脆弱性の一種で、攻撃者がアプリケーションのJavaScriptオブジェクトとプロパティを追加または変更することを可能にします。
CVE-2026-34621は、現在のユーザーのコンテキストで任意のコード実行につながる可能性がありますが、リモートからは実行できません。
「この問題の悪用には、被害者が悪意のあるファイルを開く必要があるというユーザーインタラクションが必要です」と脆弱性のNVDエントリに記載されています。
その野生での悪用は、セキュリティ研究者Haifei Liによって報告されました。これは、誰かが悪意のあるPDFサンプルを、高度なファイルベースの悪用を検出するために公開されているシステムであるEXPMONに送信した後のことです。
それと関連するもう1つの悪意のあるPDFファイルの分析により、開くと基本的なシステムを「フィンガープリント」し、攻撃者が操作するコマンドアンドコントロール(C2)サーバーに情報を送信することが明らかになりました。
悪用はC2サーバーから受け取った追加の悪用を起動することもできますが、Liはこのステップをトリガーできませんでした。
マルウェア研究者Giuseppe Massoによる分析によると、両方の悪意のあるPDFには、ガス供給の中断と緊急対応に関連するロシア語のテキストが含まれていました。
すぐに更新してください!
Adobeは、複数の製品バージョンでCVE-2026-34621に対処しました:
- Acrobat DCおよびAcrobat Reader DC v26.001.21411(WindowsおよびmacOS用)、および
- Acrobat 2024バージョン24.001.30362(Windows用)および24.001.30360(macOS用)。
同社は、管理者が可能な限り早くアップデートをインストールすることを推奨しています。
即座にパッチが適用できない場合、LiとMassoは、ユーザーは信頼できない当事者から送信されたPDFファイルを開かないよう指示する必要があり、セキュリティチームはエンドポイントの特定の変更を監視し、User Agentフィールドに「Adobe Synchronizer」文字列を含むすべてのhttp/httpsトラフィックをブロックする必要があると述べています。
翻訳元: https://www.helpnetsecurity.com/2026/04/13/adobe-acrobat-reader-cve-2026-34621-emergency-fix/
