Adobe修復(fù)遭濫用數(shù)月的PDF零日漏洞

Adobe近日發(fā)布了針對Acrobat和Reader零日漏洞的修復(fù)補丁，而此前攻擊者已利用該漏洞活躍了數(shù)月之久。

此次補丁于4月11日正式推出，修復(fù)了編號為CVE-2026-34621的高危漏洞。該漏洞影響Windows和macOS平臺上的Acrobat及Reader，可導(dǎo)致任意代碼執(zhí)行。換句話說，一個經(jīng)過特殊構(gòu)造的PDF文件，僅需被打開就能讓攻擊者完全掌控受害者的設(shè)備。

Adobe在安全公告中表示，其"已知悉CVE-2026-34621正在被野外利用"。這句話意味深長——在此之前，Adobe從未公開承認該漏洞的存在，更不用說承認攻擊者正在積極利用它。此次補丁的發(fā)布，恰好是在外部研究人員將相關(guān)攻擊活動曝光后的幾天內(nèi)完成的。

攻擊原理與手法

攻擊者在惡意文檔中內(nèi)嵌了經(jīng)過高度混淆的JavaScript代碼，并借助Acrobat的合法API運行，以收集宿主系統(tǒng)的詳細信息。隨后，惡意軟件會根據(jù)收集到的信息決定是否進一步升級攻擊，包括下載具備遠程代碼執(zhí)行能力的第二階段載荷，或突破Reader的沙箱防護。

部分受害者僅遭受了系統(tǒng)信息的"指紋采集"，而另一些則被納入更深度入侵的目標。這種差異化的攻擊策略表明，此次行動并非無差別的垃圾郵件投遞，而是針對特定目標的定向攻擊。研究人員觀察到，部分惡意文檔以俄語寫成，內(nèi)容涉及油氣行業(yè)主題，暗示攻擊目標較為集中，但目前尚無法確認幕后黑手的具體身份。

長達數(shù)月的隱匿攻擊

根據(jù)研究人員的分析，惡意活動最早可追溯至2025年底，這意味著攻擊者享有了長達數(shù)月的自由活動窗口期。在此期間，該漏洞的利用方式與Reader的正常行為高度相似，成功規(guī)避了依賴已知特征或異常行為檢測的傳統(tǒng)安全防御手段。

補丁雖已修復(fù)該漏洞，但無法還原此前已造成的損失。任何在此期間打開過惡意PDF的用戶，都可能已經(jīng)遭到信息采集，甚至面臨更嚴重的安全威脅，具體取決于其在攻擊者眼中的"價值"。Adobe迄今尚未披露受影響用戶的數(shù)量、漏洞的內(nèi)部發(fā)現(xiàn)經(jīng)過，以及為何公開確認的時間落后于外部報道。截至發(fā)稿，Adobe仍未回應(yīng)媒體的相關(guān)提問。

門已關(guān)上，但不知有多少人已經(jīng)趁虛而入。

Q&A

Q1：CVE-2026-34621漏洞是什么？它會造成什么危害？

A：CVE-2026-34621是Adobe Acrobat和Reader中的一個高危零日漏洞，影響Windows和macOS平臺。攻擊者可以通過構(gòu)造惡意PDF文件，利用該漏洞在受害者打開文件時執(zhí)行任意代碼，進而完全控制目標設(shè)備。更危險的是，該漏洞此前已被攻擊者在野外利用數(shù)月，期間Adobe沒有任何公開披露。

Q2：這次Adobe漏洞攻擊活動是針對哪些人的？

A：根據(jù)研究人員的分析，此次攻擊并非隨機的垃圾郵件式投遞，而是具有明確目標的定向攻擊。部分惡意文檔以俄語寫成，內(nèi)容涉及油氣行業(yè)相關(guān)主題，暗示攻擊目標可能集中在該行業(yè)或特定地區(qū)的用戶群體。攻擊者會先對目標進行信息采集篩選，再決定是否實施更深度的入侵。

Q3：Adobe已經(jīng)發(fā)布補丁了，用戶還需要擔(dān)心嗎？

A：Adobe已于4月11日發(fā)布修復(fù)補丁，建議用戶立即更新Acrobat和Reader至最新版本。但補丁無法消除此前已造成的影響——在漏洞被修復(fù)之前打開過可疑PDF的用戶，可能已遭受系統(tǒng)信息泄露乃至更深度的入侵。Adobe目前尚未公布受影響用戶數(shù)量，受影響用戶應(yīng)盡快進行安全自查。