Adobe выпустила экстренные обновления безопасности для Adobe Acrobat и Adobe Acrobat Reader после выявления критической уязвимости CVE-2026-34621, которая уже активно эксплуатируется злоумышленниками. Ошибка позволяет запускать на системе жертвы вредоносный код при открытии специально сформированных PDF-файлов.
Что известно об уязвимости CVE-2026-34621 в Adobe Acrobat Reader
Уязвимости присвоен идентификатор CVE-2026-34621 и актуальная оценка по шкале CVSS 3.x — 8,6 из 10, что относит её к категории критических. Первоначально рейтинг был выше (9,6), но после уточнения характеристик атаки Adobe скорректировала вектор с сетевого (Network, AV:N) на локальный (Local, AV:L), что снизило итоговый балл. При этом суть риска не изменилась: успешная эксплуатация даёт злоумышленнику возможность выполнить произвольный код в контексте запущенного процесса Acrobat/Reader.
Технически проблема описывается как prototype pollution — «загрязнение прототипа» в JavaScript. Речь идёт о классе уязвимостей, при которых атакующий может модифицировать прототипы объектов, от которых наследуются другие объекты приложения. Если злоумышленник получает возможность изменить базовый прототип (например, Object.prototype), он потенциально может влиять на поведение большого числа объектов и в ряде случаев добиваться исполнения произвольного JavaScript-кода или обхода систем безопасности.
В случае Adobe Acrobat Reader уязвимость затрагивает механизм обработки JavaScript внутри PDF-документов. Это делает особенно опасными сценарии, когда пользователю присылают или предлагают скачать PDF-файл с внедрённым вредоносным кодом, рассчитанным на эксплуатацию CVE-2026-34621.
Эксплойт для Adobe Reader уже используется: роль исследователей EXPMON
Adobe официально подтвердила, что осведомлена о факте эксплуатации CVE-2026-34621 «в дикой природе». По данным исследователей, есть признаки того, что уязвимость могла использоваться в целевых атаках как минимум с декабря 2025 года, то есть задолго до выхода патча.
Ключевую роль в раскрытии деталей сыграл исследователь безопасности и основатель EXPMON Хайфэй Ли. Он сообщил об обнаружении 0-day эксплуатации, при которой открытие специально подготовленного PDF-файла в Adobe Reader приводило к выполнению вредоносного JavaScript-кода. Команда EXPMON отмечает, что Adobe, по их информации, изначально рассматривала ошибку как потенциальную утечку информации, но затем признала, что речь идёт именно о произвольном выполнении кода, что подтверждается независимыми исследованиями.
Хотя Adobe не раскрывает деталей атак и не называет конкретных групп, сценарий типичен для фишинговых кампаний и целевых атак на организации, когда пользователям отправляют правдоподобные документы (счета, контракты, резюме) с внедрённым эксплойтом.
Какие версии Adobe Acrobat и Acrobat Reader под угрозой
Согласно бюллетеню безопасности Adobe, уязвимость затрагивает широкий спектр поддерживаемых версий Adobe Acrobat и Acrobat Reader для Windows и macOS. В список входят как стандартные, так и корпоративные редакции. Конкретные номера сборок и веток зависят от ветки обновлений и типа лицензии, поэтому администраторам и пользователям рекомендуется свериться с официальным advisory на сайте Adobe или в админ-консоли Adobe, чтобы убедиться, что установлен именно исправленный выпуск.
Важно понимать, что наличие уязвимости определяется не только версией продукта, но и тем, был ли установлен последний пакет обновлений безопасности. В корпоративной среде, где обновления могут откладываться или тестироваться отдельно, риск эксплуатации особенно высок.
Рекомендации по защите от CVE-2026-34621
1. Немедленное обновление Adobe Acrobat и Reader
Обновление — критически важная мера. Пользователям следует:
– включить автоматические обновления Adobe, если они были отключены;
– при необходимости инициировать проверку обновлений вручную через меню Help → Check for Updates;
– в корпоративных средах — оперативно распространить патчи через системы управления обновлениями (SCCM, Intune, WSUS и др.).
2. Ограничение возможностей JavaScript в PDF
До установки обновлений или в качестве дополнительной меры стоит:
– отключить или ограничить JavaScript в настройках Adobe Reader там, где это допустимо с точки зрения бизнес-процессов;
– использовать режимы повышенной изоляции (sandbox, Protected Mode/Protected View);
– по возможности открывать непроверенные PDF-документы в изолированной среде (виртуальные машины, специализированные средства изоляции контента).
3. Усиление почтовой и endpoint-защиты
Так как основным вектором остаются вредоносные PDF-файлы, целесообразно:
– использовать почтовые шлюзы с антивирусной и поведенческой проверкой вложений;
– развернуть на рабочих станциях современные EDR/NGAV-решения, способные выявлять аномальное поведение процессов Acrobat/Reader;
– обучать сотрудников распознаванию фишинговых писем и подозрительных вложений.
Ситуация с CVE-2026-34621 в Adobe Acrobat Reader наглядно демонстрирует, насколько опасными остаются уязвимости в широко используемом ПО для работы с документами. Чтобы снизить риск компрометации, организациям и частным пользователям стоит как можно быстрее установить доступные обновления Adobe, пересмотреть политику обработки PDF-файлов и усилить контроль над запуском активного содержимого (JavaScript) в документах. Регулярное обновление, многоуровневая защита рабочих станций и повышение осведомлённости пользователей по-прежнему остаются ключевыми элементами эффективной кибербезопасности.
