Adobe heeft een noodpatch beschikbaar gesteld voor een actief misbruikt beveiligingslek in Acrobat Reader. Het kritieke lek, bekend als CVE-2026-34621, maakt het mogelijk voor aanvallers om willekeurige code uit te voeren zodra een slachtoffer een speciaal geprepareerd pdf-document opent.

Er zijn aanwijzingen dat het lek al minstens vier maanden wordt uitgebuit. Beveiligingsonderzoeker Haifei Li maakte het bestaan van de kwetsbaarheid vorige week openbaar nadat zijn detectiesysteem voor exploits het probleem had geïdentificeerd. Analyse van uploads naar Googles online virusscanner VirusTotal toont aan dat misbruik al sinds 28 november 2025 plaatsvindt. Adobe beschrijft CVE-2026-34621 als een kwetsbaarheid in de onjuiste controle van object prototype-attributen, maar verstrekt verder geen technische details.

Normaal gesproken brengt Adobe beveiligingsupdates uit op de tweede dinsdag van de maand, maar vanwege de actieve exploitatie zijn er nu noodpatches verschenen. Deze updates zijn beschikbaar voor Acrobat DC 26.001.21411, Acrobat Reader DC 26.001.21411 en Acrobat 2024 versie 24.001.30362 voor Windows en 24.001.30360 voor macOS. Li roept gebruikers op om de patches zo snel mogelijk te installeren. Meer informatie over de patches is te vinden in de officiële Adobe security advisory.