SchwachstellenHackerangriffeMalware

Adobe stopft kritische Sicherheitslücke in Acrobat Reader – Notfall-Patch verfügbar

Adobe stopft kritische Sicherheitslücke in Acrobat Reader – Notfall-Patch verfügbar
Zusammenfassung

Adobe hat einen Notfall-Sicherheits-Patch für Acrobat Reader veröffentlicht, um eine kritische Sicherheitslücke (CVE-2026-34621) zu beheben, die seit mindestens Dezember in aktiven Zero-Day-Angriffen ausgenutzt wird. Die Schwachstelle ermöglicht es Angreifern, über manipulierte PDF-Dateien die Sandbox-Sicherheitsmechanismen zu umgehen und privilegierte JavaScript-APIs auszuführen, was zu einer willkürlichen Codeausführung auf dem betroffenen System führt. Dabei können Angreifer ohne Nutzerinteraktion beliebige Dateien auslesen und exfiltrieren – es genügt, die bösartige PDF zu öffnen. Die Lücke wurde durch Sicherheitsforscher entdeckt, nachdem eine verdächtige PDF-Datei zur Analyse eingereicht wurde. Erste Attacken wurden mit russischsprachigen Dokumenten zu Öl- und Gasindustrie-Themen beobachtet. Für deutsche Nutzer, Unternehmen und insbesondere Behörden stellt dies ein erhebliches Risiko dar, da Adobe Reader weit verbreitet ist und die Lücke gezielt für Spionage oder Datendiebstahl missbraucht werden kann. Adobe empfiehlt allen Nutzern dringend, die Sicherheits-Updates unverzüglich einzuspielen, da keine Workarounds verfügbar sind.

Die Schwachstelle CVE-2026-34621 stellt eine erhebliche Bedrohung dar, da sie es Angreifern ermöglicht, Sandbox-Beschränkungen zu umgehen und privilegierte JavaScript-APIs auszunutzen. Der bisher bekannte Exploit missbraucht spezifische APIs wie util.readFileIntoStream() zum Auslesen beliebiger lokaler Dateien und RSS.addFeed() zum Diebstahl von Daten sowie zum Nachladen zusätzlicher bösartiger Code-Komponenten.

Entdeckt wurde die Sicherheitslücke durch Haifei Li, Gründer des Exploit-Erkennungssystems EXPMON. Ein Sicherheitsanalyst reichte am 26. März 2025 eine verdächtige PDF-Datei mit dem Namen “yummy_adobe_exploit_uwu.pdf” zur Analyse ein. Bemerkenswert: Das Exploit-Sample war bereits drei Tage zuvor auf VirusTotal hochgeladen worden, wurde aber damals von nur fünf der 64 getesteten Antivirenlösungen erkannt. Li aktivierte sein speziell für Adobe Reader entwickeltes „Detection in Depth”-Feature und konnte so die Bedrohung validieren.

Sicherheitsforscher Gi7w0rm dokumentierte, dass Angreifer reale Exploits mit russischsprachigen Dokumenten als Köder – speziell im Öl- und Gas-Sektor – einsetzten. Adobe veröffentlichte nach Erhalt des Berichts umgehend ein Sicherheits-Bulletin. Interessanterweise wurde die Schwere zunächst mit einem kritischen CVSS-Wert von 9,6 bewertet, Adobe senkte sie später auf 8,6 ab, nachdem der Angriffsvektor von Netzwerk auf lokal korrigiert wurde.

Das Update betrifft sowohl Windows- als auch macOS-Versionen von Adobe Acrobat und Acrobat Reader. Adobe empfiehlt Nutzern, das Update über “Hilfe > Nach Updates suchen” zu installieren, was einen automatisierten Update-Prozess auslöst. Alternativ können Benutzer ein aktuelles Installer-Paket vom offiziellen Adobe-Portal herunterladen. Laut Adobe gibt es keine Workarounds – das Einspielen des Updates ist die einzige Schutzmaßnahme.

Experten raten zusätzlich zur Vorsicht beim Öffnen von PDFs aus unbekannten Quellen und empfehlen, verdächtige Dateien in isolierten Umgebungen zu öffnen. Für Unternehmen sollte eine zeitnahe Bereitstellung des Updates auf unternehmensweiter Basis Priorität haben.

Ähnliche Artikel