Adobeは、CVE-2026-34621として追跡されている脆弱性を修正するためにAcrobat Readerの緊急セキュリティアップデートをリリースしました。この脆弱性は少なくとも12月からゼロデイ攻撃で悪用されています。
この脆弱性により、悪意のあるPDFファイルがサンドボックスの制限をバイパスして特権的なJavaScript APIを呼び出すことができ、任意のコード実行につながる可能性があります。攻撃で観察されたエクスプロイトは、任意のファイルの読み取りと盗難を可能にします。悪意のあるPDFを開くこと以外のユーザー操作は必要ありません。
具体的には、このエクスプロイトはutil.readFileIntoStream()などのAPIを悪用して任意のローカルファイルを読み取り、RSS.addFeed()でデータを流出させ、攻撃者が制御する追加のコードを取得します。
このセキュリティ問題は、EXPMON エクスプロイト検出システムの創設者であるHaifei Liによって発見されました。その後、「yummy_adobe_exploit_uwu.pdf」という名前のPDFサンプルが分析のために提出されました。
Haifei Liによると、誰かが3月26日にEXPMONにサンプルを提出しましたが、3日前にVirusTotalに送信されていました。その時点で、64個のセキュリティベンダーのうち5個だけがそれを悪意のあるものとしてフラグを立てたのです。
研究者は、エクスプロイト検出システムが「深度検出」機能を有効にした後、この問題を手動で調査することを決定しました。これはHaifei Liが具体的にAdobe Readerのために開発した高度な検出機能です。彼は先週のブログ投稿でそう述べています。
セキュリティ研究者Gi7w0rmは、石油・ガス業界のおとりを使用したロシア語の文書を活用した野生での攻撃を検出しました。
Liの報告を受け取った後、Adobeは週末にセキュリティ情報を公開し、脆弱性にCVE-2026-34621トラッカーを割り当てました。
この脆弱性は最初、ネットワーク攻撃ベクトルで極度に重大(9.6)と評価されていましたが、Adobeはその後、ベクトルをローカルに変更した後、重大度を8.6に低下させました。
ベンダーは、影響を受けた以下のWindowsおよびmacOSの製品をリストアップしました:
- Acrobat DC バージョン26.001.21367以前(バージョン26.001.21411で修正)
- Acrobat Reader DC バージョン26.001.21367以前(バージョン26.001.21411で修正)
- Acrobat 2024 バージョン24.001.30356以前(Windows上ではバージョン24.001.30362で修正、Mac上ではバージョン24.001.30360で修正)
Adobeは、上記のソフトウェアのユーザーが「ヘルプ > アップデートを確認」を通じてアプリケーションを更新することをお勧めします。これにより、自動更新がトリガーされます。
あるいは、ユーザーはAdobeの公式ソフトウェアポータルからAcrobat Readerインストーラーをダウンロードすることができます。
情報にはワークアラウンドまたは緩和策が記載されていないため、セキュリティアップデートの適用が唯一の推奨アクションです。
ただし、ユーザーは常に未請求のソースから送信されたPDFファイルに警戒し、疑わしい場合はサンドボックス環境で開くべきです。
