Adobe ha rilasciato un aggiornamento di sicurezza straordinario per Acrobat Reader per correggere la vulnerabilità critica CVE-2026-34621, che risulta sfruttata attivamente in attacchi zero-day almeno dal dicembre scorso. La falla è particolarmente insidiosa perché non richiede alcuna interazione da parte dell’utente al di là dell’apertura di un file PDF, e permette a un file malevolo di aggirare le restrizioni della sandbox del programma per eseguire codice arbitrario sul sistema della vittima.

La vulnerabilità consente al PDF malevolo di invocare API JavaScript privilegiate normalmente inaccessibili dall’interno della sandbox di Acrobat Reader, lo strato isolato che dovrebbe impedire al contenuto del documento di interagire con il sistema operativo. In pratica, l’exploit abusa di funzioni come util.readFileIntoStream(), che permette di leggere file arbitrari presenti sul sistema locale, e RSS.addFeed(), usata per esfiltrare i dati verso server controllati dall’attaccante e scaricare ulteriore codice malevolo. Il risultato pratico è che chi apre il documento sbagliato può ritrovarsi con file personali sottratti e un sistema compromesso, senza aver fatto nulla di più che visualizzare un PDF.

La storia della scoperta è insolita quanto il nome del file che l’ha innescata. Il ricercatore di sicurezza Haifei Li, fondatore del sistema di rilevamento exploit EXPMON, ha intercettato il campione il 26 marzo 2026 dopo che qualcuno lo aveva inviato al sistema per l’analisi. Il file, denominato “yummy_adobe_exploit_uwu.pdf”, aveva già fatto la sua comparsa su VirusTotal tre giorni prima, ma solo cinque dei 64 vendor di sicurezza presenti sulla piattaforma lo avevano flaggato come malevolo, una percentuale di rilevamento bassissima che spiega perché l’exploit sia circolato indisturbato per mesi.

A convincere Li a investigare manualmente non è stata solo la bassa detection rate, ma anche l’attivazione di una funzione avanzata di EXPMON denominata “detection in depth”, sviluppata specificamente per analizzare comportamenti anomali legati ad Adobe Reader. L’indagine successiva ha confermato la natura dell’exploit e ha portato alla segnalazione ad Adobe.

attacchi malware

Crediti: Shutterstock

Il ricercatore Gi7w0rm ha identificato campagne attive che già utilizzano questa vulnerabilità, con documenti in lingua russa contenenti esche tematiche legate al settore petrolifero e del gas. Un dettaglio che suggerisce operazioni mirate di spionaggio industriale o raccolta di intelligence, piuttosto che campagne di malware massivo. La combinazione tra un exploit tecnico raffinato, un vettore di distribuzione estremamente comune come il PDF e un target specifico come l’industria energetica configura uno scenario di minaccia particolarmente rilevante per organizzazioni che operano in quel settore.

Adobe ha inizialmente assegnato alla vulnerabilità un punteggio CVSS di 9.6 con vettore di attacco di rete, classificandola come critica, ma successivamente il punteggio è stato rivisto a 8.6 dopo una modifica del vettore da remoto a locale. Una distinzione tecnica che attenua leggermente la valutazione formale, ma che non cambia la realtà operativa visto che il file malevolo, arrivando via email, browser o servizi di file sharing, rende il vettore di attacco effettivo tutt’altro che limitato.

Le versioni interessate comprendono Acrobat DC e Acrobat Reader DC fino alla versione 26.001.21367 e Acrobat 2024 fino alla 24.001.30356 (versioni per macOS e Windows).

Adobe non ha indicato workaround o mitigazioni alternative, invitando come unica azione raccomandata all’aggiornamento immediato del software. È possibile farlo direttamente dall’applicazione tramite il menu Help > Check for Updates, oppure scaricando l’installer aggiornato dal portale ufficiale Adobe. In attesa di applicare l’aggiornamento, è buona norma non aprire file PDF provenienti da fonti non verificate e, in caso di dubbio, analizzarli in ambienti sandbox isolati prima di visualizzarli sul sistema principale.