13.04.2026
1 хв
170
Компанія Adobe випустила термінове оновлення безпеки для Acrobat і Reader, щоб закрити критичну вразливість CVE-2026-34621, яка вже активно використовувалась у реальних атаках. Проблема дозволяла запускати шкідливий код через спеціально підготовлені PDF-файли.
Adobe терміново закрила критичну вразливість у Acrobat Reader, яку вже використовують у реальних атаках. Йдеться про проблему з ідентифікатором CVE-2026-34621, якій присвоїли оцінку 8,6 з 10 за шкалою CVSS. У разі успішної експлуатації зловмисник може запустити шкідливий код на комп’ютері жертви.
Причина уразливості пов’язана з так званим prototype pollution у JavaScript. Це тип помилки, який дозволяє змінювати внутрішні об’єкти програми та їх властивості. У результаті атакуючий отримує можливість виконувати довільний код і фактично контролювати процеси всередині додатку.
Проблема зачіпає одразу кілька версій Acrobat і Reader як на Windows, так і на macOS. Зокрема:
Acrobat DC до версії 26.001.21367
Acrobat Reader DC до версії 26.001.21367
Acrobat 2024 до версії 24.001.30356
Оновлення вже випущені. Для Acrobat DC і Reader DC це версія 26.001.21411, а для Acrobat 2024 окремі патчі для Windows і macOS.
У компанії підтвердили, що вразливість уже використовувалась у атаках. Adobe прямо заявила, що їй відомо про експлуатацію CVE-2026-34621 поза лабораторіями.
Це стало відомо через кілька днів після того, як дослідник безпеки та засновник EXPMON Хайфей Лі опублікував деталі атаки. За його словами, зловмисники використовували спеціально підготовлені PDF-файли, які запускали шкідливий JavaScript одразу після відкриття документа в Reader.
Є підстави вважати, що ця схема працювала ще з грудня 2025 року, тобто користувачі могли залишатися вразливими кілька місяців.
У EXPMON також звернули увагу, що оцінка загрози змінилася вже після публікації. Спочатку проблему розглядали як витік інформації, але пізніше Adobe підтвердила, що вона може призводити до повноцінного виконання коду.
«Схоже, Adobe визначила, що помилка може призвести до довільного виконання коду, а не лише до витоку інформації», – зазначили в EXPMON. «Це узгоджується з нашими висновками та висновками інших дослідників безпеки за останні кілька днів».
Окремо компанія переглянула параметри вразливості. У квітневому оновленні рекомендацій вектор атаки змінили з мережевого на локальний, що вплинуло на фінальну оцінку CVSS, знизивши її з 9,6 до 8,6.
Усе це вкотре показує просту річ: навіть звичайний PDF може стати точкою входу для атаки, якщо система не оновлена вчасно.
