Adobe wypuściło pilne poprawki dla jednej z groźniejszych podatności ostatnich miesięcy w Acrobat Readerze. Nie chodzi tu bynajmniej o problem teoretyczny – luka była aktywnie wykorzystywana w atakach, jeszcze zanim pojawił się patch. To właśnie ten scenariusz, którego każdy zespół bezpieczeństwa się obawia: zero-day działający w tle przez długi czas, zanim ktokolwiek zareaguje.

Autor: 4 min czytania

PDF jako wektor ataku – nadal działa

Cały atak opiera się na czymś bardzo prostym: spreparowanym pliku PDF. Żeby uruchomić złośliwy kod, wystarczy, że użytkownik otworzy plik – i to często bez żadnych dodatkowych interakcji. W tym przypadku chodzi o podatność oznaczoną jako CVE-2026-34621, która pozwala na wykonanie dowolnego kodu na systemie ofiary. Podatność otrzymała wysoki wynik CVSS: 8.6/10.

Mechanizm wykorzystuje tzw. prototype pollution w JavaScript. W praktyce oznacza to możliwość manipulowania strukturą obiektów aplikacji, co otwiera drogę do przejęcia kontroli nad procesem Readera. Działa zarówno na Windowsie, jak i macOS.

Problem był znany dużo wcześniej

Najbardziej niepokojące w tej historii jest to, że exploit nie pojawił się wczoraj. Badacze wskazują, że aktywne wykorzystanie mogło trwać od końca 2025 roku. W praktyce oznacza to kilka miesięcy działania atakujących bez oficjalnej poprawki.

W tym czasie kampanie wykorzystywały spreparowane dokumenty PDF, które po otwarciu:

  • uruchamiały ukryty JavaScript,
  • zbierały dane o systemie,
  • przygotowywały grunt pod dalszy etap ataku.

W niektórych przypadkach mogło to być tylko rozpoznanie. W innych – pierwszy krok do pełnego przejęcia systemu.

Początkowo luka była traktowana jako problem z wyciekiem informacji, ale szybko okazało się, że skutki są znacznie poważniejsze. Adobe potwierdziło, że podatność może prowadzić do pełnego wykonania kodu (RCE), co automatycznie podnosi jej wagę.

Kto stoi za atakami?

Na ten moment brakuje potwierdzenia, ale wiele wskazuje na działania ukierunkowane, a nie masowe.

Badacze zauważyli m.in.: rosyjskojęzyczne przynęty, odniesienia do sektora energetycznego, a także elementy sugerujące kampanię APT. To może oznaczać, że exploit był używany selektywnie – przeciwko konkretnym celom – zanim trafił do szerszego obiegu.

Co dalej?

Adobe zaleca użytkownikom aktualizację oprogramowania do najnowszych wersji, postępując zgodnie z poniższymi instrukcjami.

Najnowsze wersje produktów są dostępne dla użytkowników końcowych za pomocą jednej z następujących metod:

  • Użytkownicy mogą ręcznie zaktualizować swoje instalacje produktów, wybierając opcję Pomoc > Sprawdź aktualizacje.
  • Produkty zaktualizują się automatycznie, bez konieczności interwencji użytkownika, po wykryciu aktualizacji.
  • Pełny instalator programu Acrobat Reader można pobrać z Centrum pobierania programu Acrobat Reader.

Dla administratorów IT (środowiska zarządzane):

  • Linki do instalatorów znajdują się w dokumentacji konkretnej wersji.
  • Instaluj aktualizacje za pomocą preferowanej metody, takiej jak AIP-GPO, bootstrapper, SCUP/SCCM (Windows) lub onmacOS, Apple Remote Desktop i SSH.

Podsumowanie

PDF-y to w organizacjach nadal jeden z najbardziej zaufanych formatów. Faktury, CV, umowy, dokumenty od klientów – wszystko to regularnie trafia do skrzynek mailowych i jest otwierane bez większego zastanowienia. I właśnie dlatego ten wektor ataku jest tak skuteczny. Nie jest potrzebny exploit w przeglądarce ani skomplikowany phishing. Wystarczy dobrze przygotowany plik i użytkownik, który zrobi to, co robi codziennie.

To nie jest kolejna łatka Adobe, którą można zignorować. To przykład tego, jak długo i skutecznie mogą działać zero-daye oparte na dokumentach i jak łatwo przeoczyć realne zagrożenie. Czasem cały incydent w organizacji zaczyna się od jednego kliknięcia w PDF-a.