Η Adobe εξέδωσε επείγουσες ενημερώσεις για τη διόρθωση μιας κρίσιμης ευπάθειας στο Acrobat Reader, η οποία χρησιμοποιείται ήδη ενεργά για κυβερνοεπιθέσεις.
Η ευπάθεια, με κωδικό CVE-2026-34621, έλαβε βαθμολογία επικινδυνότητας 8.6 και επιτρέπει σε επιτιθέμενους να εκτελέσουν κακόβουλο κώδικα σε επηρεασμένα συστήματα.
Τι είναι το Prototype Pollution
Το συγκεκριμένο κενό ασφαλείας περιγράφεται ως περίπτωση «prototype pollution» σε περιβάλλον JavaScript. Πρόκειται για μια αδυναμία που επιτρέπει στον εισβολέα να τροποποιήσει τις ιδιότητες και τα αντικείμενα μιας εφαρμογής. Στη συγκεκριμένη περίπτωση, το άνοιγμα ενός ειδικά διαμορφωμένου εγγράφου PDF μέσω του Adobe Reader μπορεί να οδηγήσει στην εκτέλεση αυθαίρετου κώδικα.
Προϊόντα που επηρεάζονται
Η ευπάθεια αφορά χρήστες τόσο σε περιβάλλον Windows όσο και macOS. Τα προϊόντα που πρέπει να ενημερωθούν άμεσα είναι τα εξής:
- Acrobat DC και Acrobat Reader DC: Εκδόσεις 26.001.21367 και παλαιότερες (η διόρθωση περιλαμβάνεται στην έκδοση 26.001.21411).
- Acrobat 2024: Εκδόσεις 24.001.30356 και παλαιότερες (η διόρθωση περιλαμβάνεται στην έκδοση 24.001.30362 για Windows και 24.001.30360 για macOS).
Ιστορικό της ευπάθειας
Η Adobe παραδέχτηκε ότι γνωρίζει για την ενεργή εκμετάλλευση της ευπάθειας στην αγορά. Η αποκάλυψη ήρθε λίγες ημέρες μετά τις αναφορές του ερευνητή ασφαλείας Haifei Li, ιδρυτή της EXPMON, ο οποίος εντόπισε τη χρήση της ως «zero-day» επίθεσης. Υπάρχουν ενδείξεις ότι το κενό ασφαλείας ενδέχεται να βρισκόταν υπό εκμετάλλευση από τον Δεκέμβριο του 2025.
Αλλαγή στην αξιολόγηση κινδύνου
Αρχικά, η ευπάθεια είχε λάβει υψηλότερη βαθμολογία (9.6), αλλά η Adobe την προσάρμοσε στο 8.6 στις 12 Απριλίου 2026. Η αλλαγή αυτή προέκυψε καθώς το διάνυσμα επίθεσης επαναπροσδιορίστηκε από «Δικτυακό» (Network) σε «Τοπικό» (Local), καθώς απαιτείται η λήψη και το άνοιγμα ενός αρχείου από τον ίδιο τον χρήστη για να ενεργοποιηθεί ο κακόβουλος κώδικας. Οι ειδικοί τονίζουν ότι η διόρθωση είναι απαραίτητη, καθώς δεν πρόκειται για απλή διαρροή πληροφοριών, αλλά για πλήρη δυνατότητα εκτέλεσης κώδικα.
