Компания Adobe выпустила экстренное обновление безопасности для Acrobat Reader, устраняющее уязвимость CVE-2026-34621, которая использовалась в атаках нулевого дня как минимум с декабря.
Уязвимость позволяет вредоносным PDF-файлам обходить ограничения песочницы и вызывать привилегированные API JavaScript, что потенциально может привести к выполнению произвольного кода. Она помогает читать и красть произвольные файлы. Для этого не требуется никакого взаимодействия с пользователем, кроме открытия вредоносного PDF-файла.
В частности, уязвимость использует такие API, как util.readFileIntoStream() для чтения произвольных локальных файлов и RSS.addFeed() для извлечения данных и получения дополнительного кода, контролируемого злоумышленником. Проблема безопасности была обнаружена Хайфэй Ли, основателем системы обнаружения эксплойтов EXPMON, после того, как кто-то отправил на анализ образец PDF-файла под названием «yummy_adobe_exploit_uwu.pdf».
Хайфэй Ли утверждает, что кто-то отправил образец в EXPMON 26 марта, но в VirusTotal он попал за три дня до этого, и только пять из 64 поставщиков решений в области безопасности пометили его как вредоносный. Исследователь решил провести ручное расследование после того, как система обнаружения эксплойтов активировала функцию «глубокого обнаружения» — продвинутую функцию, специально разработанную Хайфэй Ли для Adobe Reader.
Исследователь безопасности Gi7w0rm обнаружил в сети атаки, использующие русскоязычные документы с приманками из нефтегазовой отрасли. После получения сообщения от Ли компания Adobe опубликовала бюллетень безопасности в выходные, присвоив уязвимости номер CVE-2026-34621.
Хотя первоначально уязвимость была оценена как критическая (9.6) с сетевым вектором атаки, Adobe впоследствии снизила уровень серьёзности до 8.6, изменив вектор атаки на локальный.
Поставщик указал следующие продукты для Windows и macOS, затронутые проблемой:
-
Acrobat DC версии 26.001.21367 и более ранние (исправлено в версии 26.001.21411);
-
Acrobat Reader DC версии 26.001.21367 и более ранние (исправлено в версии 26.001.21411);
-
Acrobat 2024 версии 24.001.30356 и более ранние (исправлено в версии 24.001.30362 для Windows и версии 24.001.30360 для Mac).
Adobe рекомендует пользователям указанных программ обновить свои приложения через «Справка > Проверить наличие обновлений», что запустит автоматическое обновление. В качестве альтернативы они могут загрузить установщик Acrobat Reader с официального портала программного обеспечения Adobe.
В бюллетене не было указано никаких обходных путей или способов смягчения последствий, поэтому единственным рекомендуемым действием является установка обновлений безопасности.
Однако пользователям всегда следует проявлять осторожность с PDF-файлами, отправленными из нежелательных источников, и открывать их в изолированной среде при возникновении подозрений.
Ранее сообщалось, что почти 100 интернет-магазинов платформы электронной коммерции Magento оказались затронуты кампанией, которая скрывает код для кражи данных кредитных карт в виде масштабируемого векторного графического изображения (SVG) размером в пиксель. Уязвимость PolyShell затрагивает все установки Magento Open Source и Adobe Commerce стабильной версии 2, позволяя выполнять неаутентифицированный код и захватывать учётные записи.
ссылка на оригинал статьи https://habr.com/ru/articles/1023268/