Krytyczna podatność w Acrobat Readerze. Jest aktualizacja

Identyfikacja i łatanie podatności są jednymi z kluczowych działań z zakresu cyberbezpieczeństwa. Na naszych łamach informowaliśmy w marcu o wykryciu luki w chińskich kamerach Hikvision i wpisaniu jej na listę wykorzystywanych podatności przez CISA. W zeszłym roku z kolei jeden z raportów mówił o „setkach podatności”, które wykryto w polskich szpitalach.

Luka umożliwiała wykonywanie kodu

Ostatnie dni przyniosły odkrycie poważnej wady znajdującej się w Acrobat Readerze, przeglądarce plików w formacie .pdf od Adobe. Jak informuje serwis The Hacker News, podatność oznaczona jako CVE-2026-34621 umożliwia atakującemu wykonywanie złośliwego kodu w aplikacji.

Pierwotnie o szczegółach luki informował założyciel EXPMON i badacz cyberbezpieczeństwa, Haifei Li. Odpowiednio przygotowany plik w formacie .pdf mógł zawierać złośliwy kod JavaScript, który po otwarciu w Acrobat Readerze zmieniał elementy oraz właściwości aplikacji. Początkowo sądzono, że podatność umożliwiała jedynie wyciek informacji – okazała się być jednak znacznie szersza.

Podatność wykorzystywana od 5 miesięcy

Twórcy aplikacji opublikowali już aktualizację eliminującą podatność. Łatkę zawierają wersje Acrobat DC oraz Acrobat Reader o numerze 26.001.21411, a także Acrobat 2024 o numerach 24.001.30362 (w przypadku Windowsa) i 24.001.30360 (w przypadku macOS). Zaleca się zaktualizowanie oprogramowania ze wcześniejszych wersji – wykryta luka była wykorzystywana do ataków już od grudnia 2025 roku.