# Zero-Day-Schwachstelle in Adobe Acrobat Reader: Wie die JavaScript-API ausgenutzt wurde, um Dateien zu stehlen
Adobe hat eine kritische Schwachstelle CVE-2026-34621 in Acrobat Reader behoben, die bösartigen PDF-Dateien ermöglichte, die Sandbox zu umgehen und beliebigen Code ohne Benutzerinteraktion auszuführen. Der Exploit nutzte privilegierte JavaScript-APIs, um lokale Dateien auszulesen und zusätzliche Nutzlasten herunterzuladen – das alles passierte einfach durch das Öffnen des Dokuments.
Angriffsmechanismus über die JavaScript-API
Die Schwachstelle resultierte aus unzureichender Isolation zwischen der PDF-JavaScript-Ausführungsumgebung und dem Hostsystem. Obwohl Acrobat Reader eine Sandbox einsetzt, um Skriptaktionen einzuschränken, stellten Forscher fest, dass bestimmte API-Methoden auch im eingeschränkten Kontext zugänglich blieben. Zwei Schlüsselmethode bildeten die Grundlage des Exploits:
util.readFileIntoStream()– ermöglicht das Lesen des Inhalts beliebiger Dateien auf dem lokalen Dateisystem;RSS.addFeed()– dient normalerweise zum Hinzufügen externer RSS-Feeds, hier aber nutzten Angreifer es, um Daten exfiltriert und zusätzlichen Code von einem Remote-Server abzurufen.
Die Kombination dieser Funktionen ermöglicht nicht nur das Stehlen vertraulicher Dateien (z. B. C:\Users\...\credentials.txt), sondern auch das Herunterladen der zweiten Angriffsstufe – wie Shellcode oder ein Backdoor.
Erkennung und Analyse des Exploits
Eine bösartige PDF-Probe namens yummy_adobe_exploit_uwu.pdf wurde am 26. März 2026 an das EXPMON-System eingereicht. Obwohl die Datei bereits am 23. März auf VirusTotal auftauchte, erkannten nur fünf von 64 Antivirenlösungen sie als Bedrohung. Das deutet auf einen hohen Grad an Obfuskation und die Neuheit der Exploit-Technik hin.
Haifei Li, Gründer von EXPMON, leitete eine manuelle Analyse ein, nachdem die Funktion „deep detection“ ausgelöst wurde – ein spezielles Modul, das eigens zur Erkennung komplexer Exploits in Adobe Reader entwickelt wurde. Die Analyse bestätigte die Nutzung eines Zero-Days, der mindestens seit Dezember 2025 aktiv war.
Derweil entdeckte der Sicherheitsforscher Gi7w0rm reale Angriffe auf russischsprachige Organisationen im Öl- und Gassektor. Als Köder dienten Dokumente zu Branchenausschreibungen oder technischen Spezifikationen, was die Wahrscheinlichkeit erhöhte, dass die Zielgruppe die Datei öffnete.
Betroffene Versionen und Updates
Adobe hat Notfall-Patches für folgende Produkte veröffentlicht:
- Acrobat DC – Versionen bis 26.001.21367 (Behebung: 26.001.21411);
- Acrobat Reader DC – Versionen bis 26.001.21367 (Behebung: 26.001.21411);
- Acrobat 2024 – Versionen bis 24.001.30356 (Behebung: 24.001.30362 für Windows, 24.001.30360 für macOS).
Updates werden über das Menü Hilfe → Auf Updates prüfen empfohlen oder durch manuelles Herunterladen des Installers von der offiziellen Adobe-Website. Das Sicherheitsbulletin nennt keine temporären Workarounds – der einzige Schutz zum Zeitpunkt der Veröffentlichung ist die Installation des Patches.
Empfehlungen für Cybersecurity-Spezialisten und Entwickler
Um Risiken bei der Arbeit mit PDF-Dokumenten aus unzuverlässigen Quellen zu minimieren:
- Öffnen Sie verdächtige Dateien in einer isolierten Umgebung (z. B. einer virtuellen Maschine ohne Netzwerkzugriff);
- Deaktivieren Sie die JavaScript-Ausführung in den Acrobat-Reader-Einstellungen, falls die Funktion nicht benötigt wird;
- Verwenden Sie EDR/XDR-Lösungen, die API-Aufrufe wie
util.readFileIntoStream()überwachen können; - Konfigurieren Sie SIEM-Systeme zur Erkennung ungewöhnlicher Zugriffe auf lokale Dateien durch Prozesse wie
AcroRd32.exeoderAdobe Acrobat Reader.app.
Es ist wichtig zu verstehen, dass selbst das „bloße Ansehen“ einer PDF ein Einstiegspunkt für APT-Gruppen werden kann, insbesondere wenn das Dokument per E-Mail von einem unbekannten Absender stammt.
Wichtige Erkenntnisse
- Schwachstelle CVE-2026-34621 ermöglicht das Umgehen der Acrobat-Reader-Sandbox über die JavaScript-API.
- Der Angriff erfordert keine Benutzerinteraktion – einfach die PDF öffnen.
- Methoden
util.readFileIntoStream()undRSS.addFeed()dienen zum Datenklau und Herunterladen von Nutzlasten. - Reale Angriffe zielen auf den Öl- und Gassektor mit russischsprachigen Ködern ab.
- Einziger Schutz: Sofortiges Update auf die gepatchten Versionen.
— Editorial Team
Noch keine Kommentare.