Luka 0-day w Adobe Reader. Wystarczy spreparowany PDF

Luka bezpieczeństwa została wykryta pod koniec marca 2026 r., gdy badacze z EXPMON przeanalizowali podejrzaną próbkę o nazwie yummy_adobe_exploit_uwu.pdf. Eksperci informują, że wystarczy samo otwarcie zainfekowanego pliku PDF, by doszło do przejęcia systemu przez atakujących. To sprawia, że zagrożenie dotyczy szerokiego grona użytkowników najnowszej wersji Adobe Reader – 26.00121367.

Według wyników analiz przeprowadzonych przez EXPMON, szkodliwy kod w zainfekowanym pliku PDF jest umieszczony w wielu obiektach i wykorzystuje zaawansowane metody zaciemniania, takie jak obfuskacja JSFuck i kodowanie Base64. Dzięki temu malware jest trudniejszy do wykrycia przez narzędzia antywirusowe oraz specjalistów zajmujących się cyberbezpieczeństwem.

Cyberprzestępcy wykorzystują błąd w silniku JavaScript zintegrowanym z Adobe Reader, co pozwala m.in. na nieuprawniony odczyt lokalnych plików poprzez wywołanie funkcji util.readFileIntoStream(). Tak pozyskane dane są natychmiast przesyłane na serwer kontrolowany przez atakujących przy użyciu API RSS.addFeed(). Docelowo atakujący mogą sprawdzić, czy użytkownik stanowi wartościowy cel i podjąć kolejne działania.

Analitycy zaznaczają, że skuteczność wykrywania tego zagrożenia przez programy antywirusowe pozostaje niska. VirusTotal wykazał, że tylko 14 na 64 analizowane silniki rozpoznały próbkę jako niebezpieczną.

Po uruchomieniu, malware zbiera dokładne dane dotyczące systemu operacyjnego, wersji Adobe Reader oraz lokalizacji pliku PDF. Zebrane informacje pomagają przestępcom ocenić, czy warto rozwijać atak na danym urządzeniu. Atakujący mogą przeprowadzić np. eksfiltrację poufnych danych lub uruchomienie kolejnych modułów zdalnego dostępu.

Obecnie nie wydano jeszcze oficjalnej aktualizacji zabezpieczającej przed tą luką. Badacze z EXPMON powiadomili firmę Adobe o zagrożeniu. Do czasu publikacji łatki eksperci zalecają powstrzymać się od otwierania plików PDF pochodzących z niepewnych źródeł i zachować wzmożoną czujność.