Zpět na domů

Zranitelnost v Adobe Acrobat Reader: krádež souborů přes PDF

Rozbor kritické zranitelnosti CVE-2026-34621 v Adobe Acrobat Reader umožňující obcházet pískoviště a krást soubory přes JavaScript API. Popsány mechanismy exploitace, postižené verze a doporučení k ochraně.

Jak hackeři kradou soubory přes PDF v Adobe Reader
Advertisement 728x90

Zranitelnost nulového dne v Adobe Acrobat Reader: jak exploitovali JavaScript API pro krádež souborů

Adobe odstranila kritickou zranitelnost CVE-2026-34621 v Acrobat Reader, která umožňovala škodlivým PDF souborům obejít sandbox a vykonat libovolný kód bez interakce uživatele. Exploit využíval privilegované JavaScript API pro čtení lokálních souborů a stahování dalších užitečných zátěží – to vše se stalo po prostém otevření dokumentu.

Mechanismus útoku prostřednictvím JavaScript API

Zranitelnost vznikla kvůli nedostatečné izolaci mezi prostředím pro vykonávání JavaScriptu v PDF a hlavním systémem. Ačkoli Acrobat Reader používá sandbox k omezení akcí skriptů, výzkumníci zjistili, že určité API metody zůstaly dostupné i v omezeném kontextu. Dva klíčové metody se staly základem exploitu:

  • util.readFileIntoStream() — umožňuje číst obsah libovolných souborů na lokálním souborovém systému;
  • RSS.addFeed() — slouží k přidávání externích RSS kanálů, ale v tomto případě ho útočníci používali k extrakci dat a načtení dalšího kódu z vzdáleného serveru.

Kombinace těchto funkcí umožňuje nejen ukrást důvěrné soubory (např. C:\Users\...\credentials.txt), ale také načíst druhou fázi útoku – např. shellcode nebo backdoor.

Google AdInline article slot

Objevení a analýza exploitu

Ukázka škodlivého PDF s názvem yummy_adobe_exploit_uwu.pdf byla odeslána do systému EXPMON 26. března 2026. Ačkoli se soubor objevil na VirusTotal již 23. března, pouze pět z 64 antivirových řešení ho rozpoznalo jako hrozbu. To svědčí o vysoké míře obfuskace a novosti techniky exploitace.

Haifei Li, zakladatel EXPMON, zahájil manuální analýzu po aktivaci funkce „hluboké detekce“ – speciálního modulu vyvinutého právě pro odhalování složitých exploitů v Adobe Reader. Analýza potvrdila zero-day zranitelnost aktivní nejméně od prosince 2025.

Současně bezpečnostní výzkumník Gi7w0rm objevil reálné útoky zaměřené na ruskojazyčné organizace v ropno-plynářském sektoru. Jako návnady sloužily dokumenty s tématikou odvětvových veřejných zakázek nebo technických specifikací, což zvyšovalo šanci, že cílová skupina soubor otevře.

Google AdInline article slot

Postižené verze a aktualizace

Adobe vydala nouzové patche pro následující produkty:

  • Acrobat DC — verze do 26.001.21367 (oprava: 26.001.21411);
  • Acrobat Reader DC — verze do 26.001.21367 (oprava: 26.001.21411);
  • Acrobat 2024 — verze do 24.001.30356 (oprava: 24.001.30362 pro Windows, 24.001.30360 pro macOS).

Aktualizaci doporučujeme provést přes menu Nápověda → Zkontrolovat aktualizace, případně ručně stáhnout instalátor z oficiálního webu Adobe. V bezpečnostním bulletinu není uvedeno žádné dočasné řešení – jediná ochrana k okamžiku publikace je instalace patchu.

Doporučení pro specialisty na informační bezpečnost a vývojáře

Pro snížení rizik při práci s PDF dokumenty z nespolehlivých zdrojů postupujte takto:

Google AdInline article slot
  • Otevírejte podezřelé soubory v izolovaném prostředí (např. virtuální stroj bez síťového přístupu);
  • Vypněte spouštění JavaScriptu v nastavení Acrobat Reader, pokud tuto funkci nepotřebujete;
  • Používejte EDR/XDR řešení s monitorováním volání API jako util.readFileIntoStream();
  • Nastavte SIEM systémy na detekci neobvyklých přístupů k lokálním souborům z procesů AcroRd32.exe nebo Adobe Acrobat Reader.app.

Je třeba si uvědomit, že i „jen prohlížení“ PDF může sloužit jako vstupní bod pro APT skupiny, zejména pokud dokument přišel e-mailem od neznámého odesílatele.

Co je důležité

  • Zranitelnost CVE-2026-34621 umožňuje obejít sandbox Acrobat Reader prostřednictvím JavaScript API.
  • Útok nevyžaduje interakci uživatele – stačí otevřít PDF.
  • Používají se metody util.readFileIntoStream() a RSS.addFeed() pro krádež dat a načtení užitečné zátěže.
  • Reálné útoky cílí na ropno-plynářský sektor s ruskojazyčnými návnadami.
  • Jediná ochrana – okamžité aktualizování na opravené verze.

— Editorial Team

Advertisement 728x90

Číst dál