Adobe patcht kwetsbaarheid die data steelt via PDF's

In dit artikel:

Onderzoeker Haifei Li van het exploit-detectieplatform EXPMON ontdekte een geavanceerde aanval waarbij kwaadwillenden verpakte PDF-bestanden gebruiken om gebruikers van Adobe Reader te bespioneren en mogelijk later te compromitteren. Volgens rapporten maakt deze campagne, die al sinds december actief zou zijn, gebruik van speciaal voorbereide PDF's met versluierde JavaScript-code die interne functies van Reader aanroept.

De misbruikte fout is een prototype pollution-kwetsbaarheid in de JavaScript-implementatie van de PDF-lezer. Door objecteigenschappen te manipuleren kunnen aanvallers functionaliteit inschakelen die normaal niet toegankelijk is: lokale bestanden uitlezen, systeeminformatie verzamelen (zoals softwareversies, taalinstellingen en OS-details) en die gegevens naar een externe server sturen. In plaats van direct volledige compromittering te proberen, bouwt de aanval eerst een profiel van het doelwit op en bepaalt op basis daarvan of er een vervolg‑payload wordt geleverd die tot arbitrary code‑uitvoering of het omzeilen van sandboxbeperkingen kan leiden.

Onderzoekers hebben aangetoond dat uitvoering van externe code via deze route mogelijk is. Adobe heeft de kwetsbaarheid bevestigd en gepatcht; de fout is geregistreerd als CVE-2026-34621 en trof meerdere versies van Acrobat/Reader op Windows en macOS. Patchen via de door Adobe uitgegeven beveiligingsupdate is inmiddels beschikbaar.

Er zijn aanwijzingen dat de campagne gericht kan zijn: sommige onderzochte PDF's verwijzen naar de Russische olie- en gassector, wat duidt op specifieke belangen, maar dat is niet definitief vastgesteld. Voor gebruikers en organisaties geldt het dringende advies om de Adobe-updates te installeren, JavaScript in Reader uit te schakelen waar mogelijk, alleen betrouwbare PDF-bronnen te openen en extra netwerk- en endpointmonitoring in te zetten totdat systemen zijn bijgewerkt.