返回首页

Adobe Acrobat Reader 中的漏洞:通过 PDF 窃取文件

Adobe Acrobat Reader 中关键漏洞 CVE-2026-34621 的分析,允许沙箱绕过并通过 JavaScript API 窃取文件。描述了利用机制、受影响版本和防护建议。

黑客如何通过 Adobe Reader 中的 PDF 窃取文件
Advertisement 728x90

Adobe Acrobat Reader 中的零日漏洞:JavaScript API 如何被利用窃取文件

Adobe 已修补 Acrobat Reader 中的严重漏洞 CVE-2026-34621,该漏洞允许恶意 PDF 文件绕过沙箱,在无需用户交互的情况下执行任意代码。该漏洞利用特权 JavaScript API 读取本地文件并下载额外载荷——这一切只需打开文档即可发生。

通过 JavaScript API 的攻击机制

漏洞源于 PDF JavaScript 执行环境与主机系统之间隔离不足。尽管 Acrobat Reader 使用沙箱限制脚本操作,但研究人员发现某些 API 方法即使在受限上下文中仍可访问。两个关键方法构成了漏洞利用的基础:

  • util.readFileIntoStream() — 允许读取本地文件系统上任意文件的内容;
  • RSS.addFeed() — 用于添加外部 RSS 源,但在此情况下,攻击者利用它外传数据并从远程服务器获取额外代码。

结合这些函数,不仅能窃取机密文件(例如 C:\Users\...\credentials.txt),还能下载攻击的第二阶段——如 shellcode 或后门。

Google AdInline article slot

漏洞利用检测与分析

名为 yummy_adobe_exploit_uwu.pdf 的恶意 PDF 样本于 2026 年 3 月 26 日提交至 EXPMON 系统。尽管该文件最早于 3 月 23 日出现在 VirusTotal 上,但 64 款杀毒软件中仅有 5 款将其识别为威胁。这表明其混淆程度很高,且利用技术非常新颖。

EXPMON 创始人 Haifei Li 在“深度检测”功能触发后启动手动分析——这是一个专为检测 Adobe Reader 中复杂漏洞利用而开发的特殊模块。分析确认该零日漏洞至少自 2025 年 12 月起已被活跃利用。

与此同时,安全研究员 Gi7w0rm 发现了针对石油天然气行业俄语组织的真实攻击。诱饵文档主题围绕行业招标或技术规格,提高目标群体打开文件的可能性。

Google AdInline article slot

受影响版本及更新

Adobe 已为以下产品发布紧急补丁:

  • Acrobat DC — 版本至 26.001.21367(修复版:26.001.21411);
  • Acrobat Reader DC — 版本至 26.001.21367(修复版:26.001.21411);
  • Acrobat 2024 — 版本至 24.001.30356(Windows 修复版:24.001.30362,macOS 修复版:24.001.30360)。

建议通过 Help → Check for Updates 菜单进行更新,或从 Adobe 官网手动下载安装程序。安全公告中未列出临时变通措施——发布时唯一防护措施是安装补丁。

给网络安全专家和开发者的建议

处理来自不受信任来源的 PDF 文档时,为降低风险:

Google AdInline article slot
  • 在隔离环境中打开可疑文件(例如,无网络访问的虚拟机);
  • 如果不需要该功能,在 Acrobat Reader 设置中禁用 JavaScript 执行;
  • 使用能够监控如 util.readFileIntoStream() 等 API 调用的 EDR/XDR 解决方案;
  • 配置 SIEM 系统检测来自 AcroRd32.exeAdobe Acrobat Reader.app 等进程对本地文件的异常访问。

重要的是要明白,即使“只是查看” PDF,也可能成为 APT 团伙的切入点,尤其是文档来自未知发件人的电子邮件时。

关键要点

  • 漏洞 CVE-2026-34621 通过 JavaScript API 绕过 Acrobat Reader 沙箱。
  • 攻击无需用户交互——只需打开 PDF。
  • 方法 util.readFileIntoStream()RSS.addFeed() 用于窃取数据并下载载荷。
  • 真实攻击针对石油天然气行业,使用俄语诱饵。
  • 唯一防护措施是立即更新至修复版本。

— Editorial Team

Advertisement 728x90

继续阅读