Adobe 於近日緊急釋出安全更新,修補編號 CVE-2026-34621 的零日漏洞。該漏洞影響 Acrobat 與 Reader 產品,攻擊者可透過惡意 PDF 檔案繞過沙箱限制並執行任意程式碼。資安研究人員發現,此漏洞最早自 2025 年 11 月起即遭利用,攻擊者使用俄語能源產業相關誘餌文件進行攻擊,企業應立即更新受影響軟體。
漏洞潛伏四個月後才獲修補
資安研究人員 Haifei Li 是 EXPMON 漏洞偵測系統的創辦人,他在 3 月 26 日收到匿名提交的可疑 PDF 樣本後展開調查。分析顯示,這是一個針對 Adobe Acrobat 與 Reader 未修補漏洞的高度複雜攻擊程式。
進一步追查發現,該惡意樣本早在 3 月 23 日就已被上傳至公開威脅情報平台 VirusTotal,當時僅有 64 家資安廠商中的 5 家將其標記為可疑。更令人擔憂的是,Haifei Li 發現另一個相關惡意樣本的上傳時間可追溯至 2025 年 11 月 28 日,顯示攻擊者利用此漏洞的時間至少長達四個月。
Adobe 在收到通報後,於 4 月 11 日發布資安公告,確認該漏洞已遭實際利用,並於週末緊急釋出修補程式。
開啟 PDF 即觸發攻擊 無需額外操作
CVE-2026-34621 是一項原型污染(Prototype Pollution)漏洞,源自不當的輸入驗證與不安全的物件屬性處理。攻擊者可利用此漏洞讓惡意 PDF 繞過沙箱限制,呼叫特權 JavaScript API 執行惡意行為。
該漏洞最大的威脅在於其觸發門檻極低。使用者只要開啟惡意 PDF 檔案,無需任何額外點擊或授權操作,攻擊程式即會自動執行。
根據 Haifei Li 的分析,惡意程式會利用 Adobe Reader 的 API 機制,先對受害系統進行指紋辨識,蒐集作業系統版本、軟體版本、語言設定及檔案路徑等資訊。這些情報會被傳送至攻擊者控制的命令與控制(C2)伺服器進行分析。
攻擊程式同時具備竊取本機檔案的能力。它會透過 util.readFileIntoStream() 等 API 讀取本機檔案,再利用 RSS.addFeed() 將資料外傳並下載後續攻擊程式碼。
Haifei Li 在部落格中指出:「此漏洞讓攻擊者不僅能蒐集與竊取本機資訊,更可能發動後續的遠端程式碼執行(RCE)或沙箱逃逸(SBX)攻擊,最終完全控制受害者的系統。」
攻擊樣本使用俄語能源產業誘餌
資安研究人員 Gi7w0rm 在觀察到的實際攻擊活動中,發現攻擊者使用俄語文件作為誘餌,內容與石油天然氣產業相關,涉及天然氣供應中斷與緊急應變等主題。
惡意軟體研究人員 Giuseppe Massaro 的分析也證實,被發現的惡意 PDF 樣本確實包含俄語的能源產業相關文字內容。這顯示攻擊者可能針對特定產業或地區進行目標式攻擊。
受影響版本與修補建議
Adobe 將此漏洞的 CVSS 評分定為 8.6(高風險)。該漏洞最初被評為 9.6(重大風險)且攻擊向量為網路,但 Adobe 隨後將攻擊向量修正為本機,因而下調評分。
以下為受影響產品版本:
- Acrobat DC 26.001.21367 及更早版本(請更新至 26.001.21411)
- Acrobat Reader DC 26.001.21367 及更早版本(請更新至 26.001.21411)
- Acrobat 2024 24.001.30356 及更早版本(Windows 請更新至 24.001.30362,macOS 請更新至 24.001.30360)
Adobe 建議使用者透過軟體內的「說明 > 檢查更新」功能進行自動更新,或從 Adobe 官方網站下載安裝程式。
無法立即更新時的緩解措施
由於 Adobe 未在公告中列出任何替代的緩解方案,更新軟體是目前唯一的官方建議。
然而,Haifei Li 與 Giuseppe Massaro 建議,若企業無法立即完成更新,應提醒員工不要開啟來自不信任來源的 PDF 檔案。資安團隊也應監控端點的異常變更,並封鎖所有 HTTP/HTTPS 流量中 User Agent 欄位包含「Adobe Synchronizer」字串的連線。
由於此漏洞已遭利用超過四個月,企業除了盡速更新外,也應檢視相關日誌與端點紀錄,評估是否已遭攻擊者入侵。