Adobe heeft spoedpatches uitgebracht voor een kritieke zero-day kwetsbaarheid in Acrobat en Reader, die al meerdere maanden actief werd misbruikt. De kwetsbaarheid, geregistreerd als CVE-2026-34621, heeft een CVSS-score van 9.6 en stelt aanvallers in staat om willekeurige code uit te voeren door onjuist gecontroleerde aanpassingen aan prototype-attributen.

De getroffen softwareversies zijn Acrobat en Reader voor Windows en macOS. De patches zijn opgenomen in versie 26.001.21411 van Acrobat DC en Acrobat Reader DC, evenals in versies 24.001.30362 en 24.001.30360 van Acrobat 2024. Adobe bevestigt dat de kwetsbaarheid in het wild is uitgebuit. De ontdekker van de zero-day is Haifei Li, een gerenommeerde onderzoeker met ervaring bij onder meer Fortinet, McAfee, Microsoft en Check Point. Li ontdekte de kwetsbaarheid tijdens de analyse van een geavanceerde PDF-exploit die was geüpload naar zijn sandbox-systeem Expmon, dat is ontworpen om file-based exploits te detecteren. De exploit was gericht op het verzamelen van informatie, maar Li waarschuwde dat latere fasen van de aanval mogelijk code-executie en ontsnapping uit de sandbox kunnen omvatten.

Analyse van een exploitmonster dat op VirusTotal werd geplaatst, wijst uit dat de uitbuiting van CVE-2026-34621 al in november 2025 begon. Li vermoedt dat een geavanceerde dreigingsactor (APT) achter de aanvallen zit. Een dreigingsanalist met het online pseudoniem Gi7w0rm meldde dat de kwaadaardige PDF-bestanden Russische taalgebruikten en verwezen naar actuele gebeurtenissen in de Russische olie- en gassector. Naar verwachting zal in de komende dagen meer informatie over de daders beschikbaar komen na verdere analyse door de cybersecuritygemeenschap.

Haifei Li heeft technische details van de kwetsbaarheid gepubliceerd. Daarnaast zijn er indicatoren van compromittering (IoC's) beschikbaar gesteld om beveiligers te helpen bij het detecteren van mogelijke uitbuiting van deze zero-day.