Die Schwachstelle nutzt bestimmte JavaScript-Schnittstellen aus, um die Sicherheitsmechanismen von Acrobat Reader zu unterlaufen. Konkret missbraucht der Exploit laut Bericht die Funktion util.readFileIntoStream(), um beliebige lokale Dateien zu lesen, sowie RSS.addFeed(), um Daten abzuziehen und weiteren, vom Angreifer kontrollierten Code nachzuladen. Eine Interaktion des Nutzers über das Öffnen der Datei hinaus ist nicht nötig.

Haifei Li wurde auf das Problem aufmerksam, nachdem jemand eine Probe mit dem Namen „yummy_adobe_exploit_uwu.pdf" zur Analyse eingereicht hatte. Die Datei ging seinen Angaben zufolge am 26. März bei EXPMON ein, war aber bereits drei Tage zuvor an VirusTotal übermittelt worden, wo sie damals nur fünf von 64 Sicherheitsanbietern als bösartig einstuften.

Den Anstoß zur manuellen Untersuchung gab nach Darstellung des Forschers die Funktion „Detection in Depth" seines Erkennungssystems – eine fortgeschrittene Erkennungsfähigkeit, die er eigens für Adobe Reader entwickelt hat. Das schildert er in einem Blogbeitrag aus der vergangenen Woche.

Der Sicherheitsforscher Gi7w0rm beobachtete Angriffe in freier Wildbahn, bei denen russischsprachige Dokumente mit Ködern aus der Öl- und Gasindustrie zum Einsatz kamen.

Nach Eingang des Berichts von Li veröffentlichte Adobe am Wochenende ein Sicherheitsbulletin und ordnete der Lücke die Kennung CVE-2026-34621 zu. Ursprünglich war der Fehler mit dem Schweregrad „kritisch" (9,6) und einem netzwerkbasierten Angriffsvektor bewertet worden. Anschließend senkte Adobe die Einstufung auf 8,6, nachdem der Vektor auf „lokal" geändert worden war.

Als betroffen führt der Hersteller mehrere Windows- und macOS-Produkte auf. Adobe empfiehlt den Anwendern, ihre Programme über „Hilfe > Nach Updates suchen" zu aktualisieren, was eine automatische Aktualisierung auslöst. Alternativ lässt sich ein Installationsprogramm für Acrobat Reader über das offizielle Software-Portal von Adobe herunterladen.

Da das Bulletin weder Übergangslösungen noch Gegenmaßnahmen nennt, bleibt das Einspielen der Sicherheitsupdates die einzige empfohlene Maßnahme. Bei PDF-Dateien aus unaufgeforderten Quellen rät der Bericht zu Vorsicht und dazu, sie im Verdachtsfall in einer abgeschotteten Umgebung zu öffnen.