Kritieke zero-day kwetsbaarheid in Acrobat Reader: open geen onbekende PDF-bestanden

Adobe dicht kritieke kwetsbaarheid (CVE-2026-34621) in Acrobat en Reader

Adobe heeft belangrijke beveiligingsupdates uitgebracht om een ernstige kwetsbaarheid, aangeduid als CVE-2026-34621, te verhelpen. Deze kwetsbaarheid werd actief misbruikt door aanvallers via kwaadaardige PDF-bestanden en vormde een reëel risico voor zowel Windows- als macOS-gebruikers.

Wat was er aan de hand?

Sinds december maakten cybercriminelen gebruik van een zogenoemde zero-day kwetsbaarheid in Adobe Acrobat Reader. Dit betekent dat de kwetsbaarheid al werd misbruikt voordat er een beveiligingsupdate beschikbaar was. Gebruikers werden misleid om schadelijke PDF-bestanden te openen, bijvoorbeeld via phishingmails of downloads van onbetrouwbare bronnen.

Zodra zo’n bestand werd geopend, maakte het misbruik van specifieke interne functies (API’s) binnen Acrobat, zoals:

• util.readFileIntoStream()
• RSS.addFeed()

Met behulp van deze functies konden aanvallers:

• Lokale bestanden op de computer van het slachtoffer uitlezen
• Gevoelige informatie verzamelen
• Deze gegevens ongemerkt doorsturen naar externe servers van de aanvaller

Escalatie van de aanval

Naast het stelen van gegevens konden aanvallers de kwetsbaarheid verder uitbuiten om:

• Extra malware te installeren
• Beveiligingsmechanismen (sandbox) te omzeilen
• Volledige controle over het systeem te verkrijgen (Remote Code Execution, oftewel RCE)

Dit maakt de kwetsbaarheid bijzonder gevaarlijk, omdat een simpele handeling — het openen van een PDF — al voldoende kon zijn voor een volledige systeemcompromittering.

Technische oorzaak

De kern van het probleem ligt in een zogeheten prototype pollution-kwetsbaarheid, een type beveiligingsfout binnen JavaScript. Hierbij kunnen aanvallers de eigenschappen van objecten in een applicatie manipuleren. Dit kan leiden tot:

• Onvoorspelbaar gedrag van de software
• Omzeilen van beveiligingscontroles
• Uiteindelijk het uitvoeren van kwaadaardige code

Ontdekking en context

De aanvallen werden voor het eerst ontdekt door beveiligingsonderzoeker Haifei Li, oprichter van het exploit-detectieplatform EXPMON. Een andere onderzoeker, Gi7w0rm, analyseerde de gebruikte PDF-bestanden en vond daarin verwijzingen naar de Russische taal. Dit suggereert mogelijk een verband met actuele geopolitieke ontwikkelingen, met name binnen de Russische olie- en gassector.

Ernst van de kwetsbaarheid

Volgens Adobe’s beveiligingsclassificatie heeft deze kwetsbaarheid een hoge ernst:

• CVSS-score: 8.4 (voorheen zelfs 9.6 op 10)
• Impact: mogelijkheid tot willekeurige code-uitvoering

Dit plaatst de kwetsbaarheid in de categorie kritiek, waarbij onmiddellijke actie vereist is.

Getroffen versies en oplossingen

De kwetsbaarheid treft meerdere versies van Acrobat en Reader. Adobe heeft inmiddels updates uitgebracht:

Voor zowel Windows als macOS:

• Acrobat DC ≤ versie 26.001.21367 → opgelost in 26.001.21411
• Acrobat Reader DC ≤ versie 26.001.21367 → opgelost in 26.001.21411

Specifiek voor Acrobat 2024:

• Windows ≤ 24.001.30356 → opgelost in 24.001.30362
• macOS ≤ 24.001.30356 → opgelost in 24.001.30360

Wat kun je doen?

Gebruikers wordt sterk aangeraden om:

• Direct de nieuwste updates te installeren
• Automatische updates ingeschakeld te laten
• Extra voorzichtig te zijn met het openen van PDF-bestanden van onbekende herkomst

Door: Drifter