本週二Acrobat Reader爆出零時差漏洞的消息,資安漏洞濫用偵測系統EXPMON的創辦人李海飛(Haifei Li)表示,他發現鎖定這套軟體平臺的PDF漏洞濫用攻擊,當中利用Adobe尚未揭露與修補的漏洞,而且在Adobe Reader的最新版本26.00121367,仍然有效,隔天又有人向其回報新的變種攻擊樣本,並確認該樣本去年底就出現在線上資安檢測服務VirusTotal,顯示此項漏洞濫用威脅已持續4個月以上,引發資安界關注。
4月11日Adobe發布預先排定計畫的Acrobat Reader安全性修補公告,揭露漏洞編號為CVE-2026-34621,CVSS嚴重度評分為9.6分,屬於重大漏洞,問題出在對物件原型屬性的修改管理不當,被歸類為原型汙染(Prototype Pollution)類型的弱點,影響的產品包括早於26.001.21367版的 Acrobat DC與Acrobat Reader DC,以及早於24.001.30356版的Acrobat 2024。
值得注意的是,在這份編號為APSB26-43的公告中,Adobe警告CVE-2026-34621已經廣泛遭到濫用,並在最後註明此漏洞的通報與修補合作對象正是Haifei Li與EXPMON,間接證實CVE-2026-34621就是本週受熱議的Acrobat Reader零時差漏洞,李海飛也在職場社群網站LinkedIn貼文確認此事。
若要修補這個漏洞,Acrobat DC與Acrobat Reader DC須更新至26.001.21411版,Acrobat 2024的Windows版本須更新至24.001.30362版,macOS版本須更新至24.001.30360版。值得注意的是,Adobe將此次安全性更新優先度定為第一級,建議系統管理者在72小時內完成。若是一般使用者,可在電腦開啟Acrobat或Acrobat Reader主選單的說明,選取「檢查更新」,即可進行相關程序。
