В минувшие выходные разработчики Adobe устранили критическую уязвимость нулевого дня в Acrobat и Reader, которую хакеры использовали в атаках как минимум с конца 2025 года. О самой проблеме и атаках на нее на прошлой неделе сообщил ИБ-исследователь Хайфэй Ли (Haifei Li), который советовал вообще не открывать PDF-файлы из непроверенных источников.

Уязвимость получила идентификатор CVE-2026-34621 и 9,6 балла по шкале CVSS. По данным специалистов Adobe, проблема была связана с некорректной обработкой изменений атрибутов прототипа объекта и вела к выполнению произвольного кода. Проблема затрагивала Acrobat и Reader для Windows и macOS.

Исправления были выпущены в составе 26.001.21411 для Acrobat DC и Acrobat Reader DC, а также в версии 24.001.30362 и 24.001.30360 для Acrobat 2024.

В своем бюллетене безопасности разработчики подтвердили, что CVE-2026-34621 уже эксплуатировали в реальных атаках. За обнаружение бага в компании поблагодарили уже упомянутого Хайфэя Ли — основателя платформы Expmon, специализирующейся на обнаружении эксплоитов. Также за плечами исследователя два десятилетия работы в Fortinet, Microsoft, McAfee и Check Point, и длинный список найденных уязвимостей в продуктах крупнейших вендоров.

Напомним, что Ли обнаружил 0-day, когда разбирал сложный PDF-эксплоит, загруженный в Expmon. Исходно он писал, что найденный образец предназначался для сбора информации, но следующие стадии цепочки эксплуатации потенциально могли включать удаленное выполнение кода и побег из песочницы.

Хуже того, Ли предупреждал, что эксплуатация уязвимости началась еще в ноябре 2025 года, и за этими атаками могла стоять APT-группировка.

Аналитик, известный под ником Gi7w0rm, отмечал, что вредоносные PDF содержали приманки на русском языке и отсылки к актуальным событиям в российском нефтегазовом секторе.

После выхода исправлений Ли опубликовал технические детали бага, и в сети уже появились индикаторы компрометации, которые призваны помочь защитникам обнаружить возможные попытки эксплуатации CVE-2026-34621.