- Kritična greška u Adobe Acrobat Readeru, CVE-2026-34621, mjesecima je iskorištavana putem kreiranih PDF-ova.
- Greška potiče od zagađenja prototipova, omogućavajući privilegovane JavaScript API-je i potencijalno izvršavanje proizvoljnog koda.
- Za Windows i macOS dostupne su hitne zakrpe; preporučuje se instaliranje ispravljenih verzija u roku od nekoliko sati, a ne dana.
- Organizacije bi trebale kombinirati brzo postavljanje zakrpa s naprednim otkrivanjem, osiguranjem i svjesnošću korisnika kako bi smanjile rizik nultog dana.
Tokom posljednjih nekoliko dana, ozbiljna sigurnosna greška u programu Adobe Acrobat Reader, praćena kao CVE-2026-34621, prešao je iz tihe podzemne eksploatacije u centar pažnje javnosti. Problem utiče na široko korišteni PDF softver i na Windowsu i na macOS-u, a jedino što žrtve trebaju učiniti da bi bile u opasnosti je otvoriti posebno pripremljenu PDF datoteku.
Istraživači sigurnosti i Adobe sada su potvrdili da je ovo Zero-day ranjivost je zloupotrebljavana najmanje od decembra 2025., što je napadačima dalo značajnu prednost prije nego što su zakrpe postale dostupne u aprilu 2026. godine. S visokom CVSS ocjenom i dokazanom eksploatacijom u stvarnom svijetu, ovo je vrsta greške koju branitelji ne mogu sebi priuštiti da ignorišu.
Kako je otkriven i potvrđen CVE-2026-34621
Prve javne informacije o CVE-2026-34621 došle su od istraživač Haifei Li i njegova platforma za detekciju eksploita zasnovana na sandboxu EXPMONKrajem marta 2026. godine, sistem je označio sumnjiv PDF koji većina antivirusnih programa jedva da je primijetila, zabilježivši samo mali dio detekcija na VirusTotalu.
EXPMON-ovo višeslojno praćenje označilo je dokument za detaljniji pregled, iako je samo 13 od 64 antivirusna programa je u početku prepoznalo sve zlonamjernoOva niska stopa detekcije tipična je za pažljivo osmišljene zero-day propuste koji su dizajnirani da prođu kroz konvencionalnu odbranu.
Tokom ručne istrage, Li je otkrio Visoko ciljani napad zero-day otiskom prsta usmjeren na korisnike Adobe ReaderaUzorak je poslužio kao početna faza iskorištavanja, koristeći prethodno nepoznatu slabost u Adobe Readeru za pozivanje privilegovanih internih API-ja na potpuno ažuriranim instalacijama.
Ubrzo nakon što su ovi nalazi objavljeni, Adobe je objavio Sigurnosna upozorenja i ažuriranja za hitne slučajeve koja se eksplicitno odnose na CVE-2026-34621Kompanija je potvrdila da je svjesna eksploatacije "in-the-wide" i klasifikovala je nedostatak kao kritičan, sa osnovnim rezultatom CVSS-a koji je u nekim komunikacijama iznosio čak 9.6.
Unutar ranjivosti: Zagađenje prototipova i izvršavanje koda
Na tehničkom nivou, CVE-2026-34621 je opisan kao „nepravilno kontrolisana modifikacija atributa prototipa objekta“, poznatije kao zagađenje prototipova. Ova klasa ranjivosti se najčešće javlja u JavaScript okruženjima, gdje mnogi objekti nasljeđuju iz zajedničkog prototipa, kao što je Object.prototype.
Kada ulaz nije u potpunosti provjeren, napadač može ubrizgati svojstva u osnovni prototipBilo koji drugi objekat koji se oslanja na taj prototip može tiho naslijediti izmijenjena svojstva, što zatim može promijeniti tok kontrole, promijeniti sigurnosne pretpostavke ili otvoriti vrata neočekivanom ponašanju unutar aplikacije.
U kontekstu Adobe Readera, ova slabost je omogućila Zlonamjerni JavaScript ugrađen u PDF-ove radi manipulisanja unutrašnjim strukturama objekataNa taj način, napadači su mogli doći do funkcija koje bi inače ostale van granica, uključujući API-je s pristupom lokalnom datotečnom sistemu i mrežnoj komunikaciji.
Ako se uspješno iskoristi, greška može dovesti do izvršavanje proizvoljnog koda u kontekstu procesa ReaderU praktičnom smislu, to znači da kreirani dokument može potencijalno instalirati zlonamjerni softver, uspostaviti trajnost ili se koristiti kao odskočna daska za izlazak iz sandboxa ako se kombinuje s drugim ranjivostima.
Unaprijeđeni PDF-ovi i privilegovani Acrobat API-ji
Lanac iskorištavanja koji je otkrio EXPMON vrti se oko posebno kreirane PDF datoteke koje aktiviraju privilegovane Acrobat JavaScript API-jeNakon što se ranjivost zloupotrebi, zlonamjerni kod dobija pristup funkcijama koje bi obično bile nedostupne redovnom PDF sadržaju.
Jedan kritični element je upotreba util.readFileIntoStream(), funkcija koja može čitati proizvoljne lokalne datoteke sve dok im sandbox proces Readera može pristupiti. Ova mogućnost omogućava napadaču da tiho prikupi lokalne podatke, uključujući dokumente ili detalje konfiguracije, bez očigledne interakcije korisnika osim otvaranja PDF-a.
Nakon prikupljanja osjetljivih informacija, uzorak koji je Li analizirao korišten je RSS.addFeed() slanje ukradenih podataka na udaljeni serverIsti mehanizam se može iskoristiti za primanje novih zlonamjernih JavaScript sadržaja, što napadačima omogućava dinamičko prilagođavanje daljnjih akcija svakoj žrtvi.
Ovaj pristup omogućava ono što je u suštini dvostepena strategija: prvo, profilirajte sistem i korisnika; zatim, na osnovu tih informacija, odlučiti da li da se implementiraju invazivniji korisni sadržaji kao što su potpuno izvršavanje udaljenog koda ili iskorištavanje sandbox escape-a. Mete koje se smatraju posebno vrijednim mogu se izdvojiti za dublje kompromitovanje.
Vremenska crta eksploatacije i podzemni interes
Javno upozorenje od Adobea stiglo je tek nakon mjeseci tajne eksploatacijePrema informacijama koje su podijelili istraživači, zero-day se aktivno koristi najmanje od decembra 2025. godine, mnogo prije nego što je šira sigurnosna zajednica postala svjesna toga.
Kružili su izvještaji da Kod za iskorištavanje osnovne greške u Adobe Readeru trgovao se na ilegalnim forumima.To se poklapa sa obrascem koji se često viđa kod ranjivosti na strani klijenta sa velikim uticajem, gdje visoko sposobni akteri prijetnji monetizuju radne eksploite među manjom grupom prije nego što šire otkrivanje prisili na instaliranje zakrpa.
Jer je vektor napada jednostavan kao otvaranje zlonamjerno kreiranog PDF dokumenta, ovaj zero-day napad se savršeno uklapa u phishing i kampanje zlonamjernog softvera zasnovane na dokumentima. Također izaziva zabrinutost da je veći broj organizacija mogao biti meta napada, a da to nisu znali, posebno ako su napadači koristili prilagođeni socijalni inženjering ili taktike spear-phishinga.
Puni opseg pogođenih žrtava i sektora ostaje neizvjesno u ovoj faziMeđutim, kombinacija dugog vremenskog okvira za eksploataciju, niske početne detekcije i potencijala za direktno izvršavanje koda čini ovaj slučaj posebno zabrinjavajućim za preduzeća i vladina okruženja sa intenzivnom upotrebom PDF-a.
Utjecaj na verzije programa Adobe Acrobat Reader
Adobeov sigurnosni bilten navodi specifične linije proizvoda i verzije koje su izložen CVE-2026-34621Obuhvaćene su i Windows i macOS verzije programa Acrobat i Reader, što naglašava da problem nije ograničen samo na jednu platformu.
Za kontinuirana verzija izdanja, u upozorenju se sljedeće verzije nazivaju ranjivima:
- Kontinuirano u Acrobatu DC 26.001.21367 i ranije verzije na Windowsu i macOS-u
- Acrobat Reader DC Kontinuirano 26.001.21367 i ranije verzije na Windowsu i macOS-u
Na klasična staza za 2024., ove verzije su navedene kao pogođene:
- Acrobat 2024 Klasični 24.001.30356 i ranije verzije na Windowsu i macOS-u
Adobe je objavio ažurirane verzije koje sadrže Hitno rješenje za CVE-2026-34621Među istaknutim zakrpljenim verzijama su:
- Acrobat DC Kontinuirano 26.001.21411
- Acrobat Reader DC Kontinuirano 26.001.21411
- Acrobat 2024 Classic – Windows: 24.001.30362 | macOS: 24.001.30360
Kompanija napominje da, Sa zadanim postavkama, ažuriranja se instaliraju automatskiUprkos tome, administratori u upravljanim okruženjima ne bi trebali pretpostavljati da je svaka krajnja tačka već ažurirana; preporučuje se eksplicitna verifikacija.
Zašto je ovaj zero-day važan za sigurnost krajnjih tačaka
CVE-2026-34621 još jednom ističe kako Softver za svakodnevnu produktivnost može postati visokovrijedna početna tačka za napadače. PDF čitači su duboko integrirani u poslovne tokove rada, a korisnici su navikli otvarati priložene dokumente bez mnogo sumnje, posebno ako se čine rutinskim.
Kombinacija JavaScript podrška unutar PDF-ova, složeni skupovi funkcija i dostupnost na više platformi stvara široku površinu za napad. Zagađenje prototipova u ovom kontekstu je posebno opasno jer omogućava napadačima da iskrivljuju internu logiku na načine koje originalni programeri nisu predvidjeli, posebno kada indirektno izlaže privilegovane API-je.
Ovaj incident također ilustruje ograničenja tradicionalni sigurnosni alati zasnovani na potpisimaKada se prvi uzorak pojavio, detekcija od strane uobičajenih antivirusnih rješenja bila je slaba, a ipak je exploit već bio operativan mjesecima. Organizacije koje se oslanjaju samo na osnovnu zaštitu krajnjih tačaka možda nemaju jasan uvid u takve napade.
Napredne platforme za detekciju poput EXPMON-a, koje koriste analiza ponašanja, sandboxing i korelacija podataka velikih razmjera, pokazao se sposobnijim za označavanje sumnjivog PDF-a, i poznavanje programski jezici za sajber sigurnost može pomoći u tumačenju takvih detekcija. Međutim, oni i dalje zavise od stručnih analitičara koji tumače upozorenja i potvrđuju stvarne propuste, što može biti izazov za manje timove s ograničenim resursima.
Šta korisnici i organizacije trebaju učiniti sada
Za krajnje korisnike i IT odjele, prvi i najhitniji korak je da primijenite sigurnosna ažuriranja Adobea koja ispravljaju CVE-2026-34621Adobeove vlastite smjernice naglašavaju da zakrpe treba instalirati što je brže moguće, s predloženim vremenskim okvirima od čak 72 sata za izložena okruženja.
Na upravljanim mrežama, administratori bi trebali provjeriti da sve instalacije programa Acrobat DC, Acrobat Reader DC i Acrobat 2024 prešli su na sigurne verzije navedene u Adobeovom biltenu APSB26-43. Sisteme koji se ne mogu odmah ažurirati treba tretirati kao visokorizične, a njihovu izloženost nepouzdanim PDF-ovima treba svesti na minimum.
Pored instaliranja zakrpa, organizacije mogu smanjiti površinu napada tako što će pregled načina na koji rukuju PDF-ovima s ugrađenim JavaScriptomTamo gdje poslovne potrebe dozvoljavaju, onemogućavanje podrške za skripte ili njeno ograničavanje putem konfiguracijskih politika može smanjiti utjecaj sličnih grešaka u budućnosti, čak i ako ostanu neotkrivene neko vrijeme.
Svijest o sigurnosti ostaje ključna: Korisnici bi trebali biti oprezni pri otvaranju PDF priloga od nepoznatih ili neočekivanih pošiljatelja, čak i kada se čini da dolaze iz poznatih organizacija. Obuka koja objašnjava rizike zlonamjernog softvera zasnovanog na dokumentima pomaže u jačanju boljih navika i dopunjuje tehničku odbranu.
Sa stanovišta odgovora na incident, možda bi bilo vrijedno provjeriti historijski zapisnici, EDR telemetrija i email gateway-i zbog neobičnog ponašanja vezanog za PDF dokumente koje datira još iz decembra 2025. Iako neće svako okruženje imati potrebnu vidljivost, ciljani pregledi mogu otkriti sumnjive aktivnosti povezane s ovim zero-day događajem.
Konačno, priča o CVE-2026-34621 je podsjetnik da Zero-day ranjivosti u sveprisutnim alatima poput Adobe Readera i dalje su omiljeno oružje napadača.Mjeseci nezapažene eksploatacije, niska početna detekcija i mogućnost izvršavanja koda jednostavnim navođenjem nekoga da otvori dokument kombiniraju se u potencijalnu prijetnju. Organizacije koje brzo reagiraju - ažuriranjem zakrpa, jačanjem praćenja i pooštravanjem politika rukovanja PDF-ovima - bit će bolje pozicionirane da se nose sa sličnim incidentima kada se neizbježno pojavi sljedeća visokoprofilna ranjivost.
