Adobe a émis une mise à jour de sécurité d’urgence pour Acrobat Reader afin de remédier à une vulnérabilité, identifiée sous le numéro CVE-2026-34621, qui a été exploitée dans des attaques de type zero-day depuis au moins décembre dernier.
Cette faille permet à des fichiers PDF malveillants de contourner les restrictions de sandbox et d’invoquer des API JavaScript privilégiées, ce qui peut entraîner une exécution de code arbitraire. L’exploitation observée dans ces attaques permet de lire et de dérober des fichiers de manière aléatoire, sans nécessiter d’interaction de la part de l’utilisateur, à part l’ouverture du PDF malveillant.
Plus précisément, l’exploitation s’appuie sur des API telles que util.readFileIntoStream() pour lire des fichiers locaux et RSS.addFeed() pour exfiltrer des données ainsi que récupérer du code supplémentaire contrôlé par l’attaquant.
La vulnérabilité a été mise en évidence par Haifei Li, fondateur du système de détection des exploits EXPMON, après qu’un échantillon de PDF, nommé « yummy_adobe_exploit_uwu.pdf« , ait été soumis pour analyse.
Selon Haifei Li, l’échantillon a été soumis à EXPMON le 26 mars, mais avait été téléchargé sur VirusTotal trois jours plus tôt, où seulement cinq sur 64 fournisseurs de sécurité l’ont identifié comme malveillant à ce moment-là.
Le chercheur a décidé d’examiner manuellement la question après que le système de détection ait activé sa fonctionnalité « détection en profondeur », conçue spécifiquement pour Adobe Reader.
Des attaques exploitant des documents en langue russe, visant l’industrie pétrolière et gazière, ont été identifiées par le chercheur sur le terrain sous le pseudonyme Gi7w0rm.
Suite au rapport de Li, Adobe a publié un bulletin de sécurité, assignant la vulnérabilité au numéro de suivi CVE-2026-34621.
Bien que la faille ait été initialement classée comme critique (9.6) avec un vecteur d’attaque réseau, Adobe a par la suite réduit la gravité à 8.6 après avoir modifié le vecteur en local.
Les produits concernés sous Windows et macOS incluent :
- Versions Acrobat DC 26.001.21367 et antérieures (corrigé dans la version 26.001.21411)
- Versions Acrobat Reader DC 26.001.21367 et antérieures (corrigé dans la version 26.001.21411)
- Versions Acrobat 2024 24.001.30356 et antérieures (corrigé dans la version 24.001.30362 sur Windows, et 24.001.30360 sur Mac)
Adobe recommande aux utilisateurs des logiciels concernés de mettre à jour leurs applications via l’option ‘Aide > Vérifier les mises à jour’, qui déclenche une mise à jour automatisée. Pour ceux préférant une installation manuelle, il est possible de télécharger un installateur d’Acrobat Reader depuis le portail officiel d’Adobe.
Aucune alternative ou solution de contournement n’a été proposée dans le bulletin, rendant l’application des mises à jour de sécurité impérative.
Cependant, il est conseillé aux utilisateurs de rester vigilants face aux fichiers PDF provenant de sources non sollicitées et de les ouvrir dans des environnements isolés lorsqu’ils éveillent des soupçons.