Adobe Acrobat Reader 中的零日漏洞:JavaScript API 如何被利用窃取文件
Adobe 已修补 Acrobat Reader 中的严重漏洞 CVE-2026-34621,该漏洞允许恶意 PDF 文件绕过沙箱,在无需用户交互的情况下执行任意代码。该漏洞利用特权 JavaScript API 读取本地文件并下载额外载荷——这一切只需打开文档即可发生。
通过 JavaScript API 的攻击机制
漏洞源于 PDF JavaScript 执行环境与主机系统之间隔离不足。尽管 Acrobat Reader 使用沙箱限制脚本操作,但研究人员发现某些 API 方法即使在受限上下文中仍可访问。两个关键方法构成了漏洞利用的基础:
util.readFileIntoStream()— 允许读取本地文件系统上任意文件的内容;RSS.addFeed()— 用于添加外部 RSS 源,但在此情况下,攻击者利用它外传数据并从远程服务器获取额外代码。
结合这些函数,不仅能窃取机密文件(例如 C:\Users\...\credentials.txt),还能下载攻击的第二阶段——如 shellcode 或后门。
漏洞利用检测与分析
名为 yummy_adobe_exploit_uwu.pdf 的恶意 PDF 样本于 2026 年 3 月 26 日提交至 EXPMON 系统。尽管该文件最早于 3 月 23 日出现在 VirusTotal 上,但 64 款杀毒软件中仅有 5 款将其识别为威胁。这表明其混淆程度很高,且利用技术非常新颖。
EXPMON 创始人 Haifei Li 在“深度检测”功能触发后启动手动分析——这是一个专为检测 Adobe Reader 中复杂漏洞利用而开发的特殊模块。分析确认该零日漏洞至少自 2025 年 12 月起已被活跃利用。
与此同时,安全研究员 Gi7w0rm 发现了针对石油天然气行业俄语组织的真实攻击。诱饵文档主题围绕行业招标或技术规格,提高目标群体打开文件的可能性。
受影响版本及更新
Adobe 已为以下产品发布紧急补丁:
- Acrobat DC — 版本至 26.001.21367(修复版:26.001.21411);
- Acrobat Reader DC — 版本至 26.001.21367(修复版:26.001.21411);
- Acrobat 2024 — 版本至 24.001.30356(Windows 修复版:24.001.30362,macOS 修复版:24.001.30360)。
建议通过 Help → Check for Updates 菜单进行更新,或从 Adobe 官网手动下载安装程序。安全公告中未列出临时变通措施——发布时唯一防护措施是安装补丁。
给网络安全专家和开发者的建议
处理来自不受信任来源的 PDF 文档时,为降低风险:
- 在隔离环境中打开可疑文件(例如,无网络访问的虚拟机);
- 如果不需要该功能,在 Acrobat Reader 设置中禁用 JavaScript 执行;
- 使用能够监控如
util.readFileIntoStream()等 API 调用的 EDR/XDR 解决方案; - 配置 SIEM 系统检测来自
AcroRd32.exe或Adobe Acrobat Reader.app等进程对本地文件的异常访问。
重要的是要明白,即使“只是查看” PDF,也可能成为 APT 团伙的切入点,尤其是文档来自未知发件人的电子邮件时。
关键要点
- 漏洞 CVE-2026-34621 通过 JavaScript API 绕过 Acrobat Reader 沙箱。
- 攻击无需用户交互——只需打开 PDF。
- 方法
util.readFileIntoStream()和RSS.addFeed()用于窃取数据并下载载荷。 - 真实攻击针对石油天然气行业,使用俄语诱饵。
- 唯一防护措施是立即更新至修复版本。
— Editorial Team
暂无评论。