アドビは、少なくとも12月以降ゼロデイ攻撃で悪用されている脆弱性(CVE-2026-34621として追跡されている)を修正するため、Acrobat Readerの緊急セキュリティアップデートをリリースした。
この脆弱性により、悪意のある PDF ファイルがサンドボックスの制限を回避し、特権を持つ JavaScript API を呼び出すことが可能となり、任意のコードを実行される可能性があります。攻撃で確認された悪用は、任意のファイルの読み取りと窃取を可能にします。悪意のあるPDFを開くだけで、ユーザーによる操作は必要ありません。
具体的には、util.readFileIntoStream()のようなAPIを悪用して、任意のローカルファイルを読み込んだり、RSS.addFeed()を悪用して、データを流出させたり、攻撃者が制御する追加コードをフェッチしたりします。
このセキュリティ問題は、誰かが“yummy_adobe_exploit_uwu.pdf“という名前のPDFサンプルを解析のために提出した後、EXPMONエクスプロイト検出システムの創設者であるHaifei Li氏によって発見された。
Haifei Li氏によると、誰かがこのサンプルをEXPMONに提出したのは3月26日だったが、その3日前にVirusTotalに送られており、その時点では64のセキュリティベンダーのうち5社しか悪意のあるフラグを立てていなかったという。
研究者は、エクスプロイト検出システムがAdobe Readerのために特別に開発した高度な検出機能である「detection in depth」機能を作動させた後、この問題を手動で調査することにしたと、彼は先週のブログ投稿で述べている。
セキュリティ研究者のGi7w0rmは、石油・ガス業界を誘引するロシア語の文書を利用した攻撃を発見した。
Li氏の報告を受けて、Adobeは週末にセキュリティ情報を発表し、脆弱性にCVE-2026-34621トラッカーを割り当てた。
この欠陥は当初、ネットワーク攻撃ベクターでクリティカル(9.6)と評価されていたが、アドビはその後、ベクターをローカルに変更し、深刻度を8.6に引き下げた。
ベンダーは、以下のWindowsおよびmacOS製品が影響を受けるとしている:
- Acrobat DC バージョン 26.001.21367 およびそれ以前(バージョン 26.001.21411 で修正済み)
- Acrobat Reader DC バージョン 26.001.21367 およびそれ以前(バージョン 26.001.21411 で修正済み)
- Acrobat 2024 バージョン24.001.30356およびそれ以前(Windowsではバージョン24.001.30362、Macではバージョン24.001.30360で修正済み)
アドビでは、上記のソフトウェアをご使用のお客様に、「ヘルプ > アップデートの確認」でアプリケーションをアップデートし、自動アップデートを実行することを推奨しています。
また、Adobe社の公式ソフトウェアポータルからAcrobat Readerのインストーラーをダウンロードすることもできます。
このニュースレターには、回避策や緩和策は記載されていないため、セキュリティ・アップデートを適用することのみが推奨される。
しかし、ユーザーは常に迷惑な送信元から送られてくるPDFファイルに注意し、疑わしい場合はサンドボックス環境で開くべきである。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 220px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
Mythosが発見した問題の99%はまだ未パッチである。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSのサンドボックスの両方をバイパスした。新たなエクスプロイトの波が押し寄せている。
自律的検証サミット(5月12日、14日)では、自律的でコンテキストに富んだ検証がどのようにエクスプロイト可能なものを見つけ、コントロールが有効であることを証明し、修復のループを閉じるかをご覧ください。
Comments