Компания Adobe выпустила срочное обновление безопасности для своего продукта Acrobat Reader. Причина — критическая уязвимость нулевого дня CVE-2026-34621, которую злоумышленники уже активно эксплуатируют в реальных атаках. Суть проблемы: через специально подготовленный PDF-документ атакующий может выполнить произвольный вредоносный код на компьютере жертвы. То есть речь не об утечке данных, а о полноценном исполнении кода.
Уязвимость относится к типу Prototype Pollution — это специфическая проблема в JavaScript, позволяющая атакующему манипулировать объектами и свойствами приложения. Механизм атаки прост и от этого особенно неприятен: пользователю достаточно открыть «заряженный» PDF-файл через Adobe Reader, и встроенный в документ вредоносный JavaScript-код выполнится на его машине. Никаких дополнительных действий от жертвы не требуется.
По шкале CVSS уязвимость получила оценку 8.6 из 10. Правда, изначально балл был ещё выше — 9.6. Понижение произошло 12 апреля 2026 года, когда Adobe пересмотрела свой бюллетень безопасности и переклассифицировала вектор атаки с сетевого (AV:N) на локальный (AV:L). Разница существенна: локальный вектор означает, что атакующему нужно каким-то образом доставить файл на устройство жертвы, а не просто выполнить атаку удалённо через сеть. Но 8.6 — это всё равно серьёзно.
Детали эксплуатации уязвимости раскрыл исследователь безопасности Хайфей Ли, основатель компании EXPMON. Его команда подтвердила факт произвольного исполнения кода в посте на платформе X. EXPMON подкрепила выводы Adobe независимой проверкой, что убрало последние сомнения относительно реальности угрозы.
По имеющимся данным, эксплуатация CVE-2026-34621 в «дикой природе» идет как минимум с декабря 2025 года. То есть злоумышленники пользовались этой брешью несколько месяцев до того, как патч стал доступен. Сколько пользователей успели пострадать за этот период, пока неясно.
Обновления затрагивают две линейки продуктов. Для Acrobat Reader DC и Acrobat DC уязвимы все версии до 26.001.21367 включительно, исправленная версия — 26.001.21411. Для Acrobat 2024 уязвимы версии до 24.001.30356, а вот с патчами чуть интереснее: на Windows нужно ставить 24.001.30362, на macOS — 24.001.30360.
Prototype Pollution как тип уязвимости встречается нечасто в контексте десктопных приложений — обычно о нём говорят применительно к веб-приложениям и Node.js. Появление такой бреши в Acrobat Reader напоминает о том, что PDF давно перестал быть просто форматом для документов. Внутри PDF может крутиться JavaScript, а где JavaScript — там и потенциальные проблемы с безопасностю.
Adobe настоятельно рекомендует всем пользователям обновиться как можно скорее. Учитывая, что атаки идут с декабря прошлого года, а вектор — обычный PDF-файл, который могут прислать по почте или через мессенджер, промедление с установкой патча выглядит рискованной затеей. Особенно для корпоративных сред, где PDF-файлы из внешних источников — ежедневная рутина.
Изображение носит иллюстративный характер
Уязвимость относится к типу Prototype Pollution — это специфическая проблема в JavaScript, позволяющая атакующему манипулировать объектами и свойствами приложения. Механизм атаки прост и от этого особенно неприятен: пользователю достаточно открыть «заряженный» PDF-файл через Adobe Reader, и встроенный в документ вредоносный JavaScript-код выполнится на его машине. Никаких дополнительных действий от жертвы не требуется.
По шкале CVSS уязвимость получила оценку 8.6 из 10. Правда, изначально балл был ещё выше — 9.6. Понижение произошло 12 апреля 2026 года, когда Adobe пересмотрела свой бюллетень безопасности и переклассифицировала вектор атаки с сетевого (AV:N) на локальный (AV:L). Разница существенна: локальный вектор означает, что атакующему нужно каким-то образом доставить файл на устройство жертвы, а не просто выполнить атаку удалённо через сеть. Но 8.6 — это всё равно серьёзно.
Детали эксплуатации уязвимости раскрыл исследователь безопасности Хайфей Ли, основатель компании EXPMON. Его команда подтвердила факт произвольного исполнения кода в посте на платформе X. EXPMON подкрепила выводы Adobe независимой проверкой, что убрало последние сомнения относительно реальности угрозы.
По имеющимся данным, эксплуатация CVE-2026-34621 в «дикой природе» идет как минимум с декабря 2025 года. То есть злоумышленники пользовались этой брешью несколько месяцев до того, как патч стал доступен. Сколько пользователей успели пострадать за этот период, пока неясно.
Обновления затрагивают две линейки продуктов. Для Acrobat Reader DC и Acrobat DC уязвимы все версии до 26.001.21367 включительно, исправленная версия — 26.001.21411. Для Acrobat 2024 уязвимы версии до 24.001.30356, а вот с патчами чуть интереснее: на Windows нужно ставить 24.001.30362, на macOS — 24.001.30360.
Prototype Pollution как тип уязвимости встречается нечасто в контексте десктопных приложений — обычно о нём говорят применительно к веб-приложениям и Node.js. Появление такой бреши в Acrobat Reader напоминает о том, что PDF давно перестал быть просто форматом для документов. Внутри PDF может крутиться JavaScript, а где JavaScript — там и потенциальные проблемы с безопасностю.
Adobe настоятельно рекомендует всем пользователям обновиться как можно скорее. Учитывая, что атаки идут с декабря прошлого года, а вектор — обычный PDF-файл, который могут прислать по почте или через мессенджер, промедление с установкой патча выглядит рискованной затеей. Особенно для корпоративных сред, где PDF-файлы из внешних источников — ежедневная рутина.
