请点击上方蓝色的【#公众号信安社群#】微信公众号一键关注!Adobe 于 2026 年 4 月 14 日发布了一份关键安全公告,旨在解决 Adobe Acrobat 和 Windows 版 Reader 以及 macOS 中的多项漏洞。根据官方公告,成功利用这些漏洞可能使攻击者能够执行任意代码或读取目标系统上的任意文件。虽然这些威胁严重程度很高,但 Adobe 确认目前尚无任何活跃的攻击漏洞。任意执行代码在文档阅读器中尤为危险,因为威胁行为者经常利用钓鱼邮件诱骗受害者打开武器化文件。一旦恶意 PDF 被打开,攻击者可能悄无声息地安装恶意软件、窃取敏感数据 ,或在企业网络中建立立足点。最新的安全补丁修复了两个具体漏洞。两者都被归类为对象原型属性的受控不当修改,通常称为原型污染(CWE-1321)。当脚本操控标准对象行为,使攻击者能够绕过安全控制时,就会发生这种类型的缺陷。安全公告强调了以下技术细节:CVE-2026-34622: 一位名为 YH 的安全研究员报告了一个关键漏洞,其 CVSS 基础得分高达 8.6,允许在当前用户的上下文中任意执行代码。CVE-2026-34626: 该缺陷被评为重要,基于 CVSS 基础评分 6.3,可能导致任意文件系统读取并暴露敏感本地数据,这一点由研究人员 greenapple 发现。这些安全漏洞影响了 Adobe PDF 软件在 Windows 和 macOS 上的多个轨道。使用过时软件的用户如果与恶意撰写的文档互动,面临潜在的入侵风险。受影响的产品包括:Acrobat DC and Acrobat Reader DC (Continuous Track) versions 26.001.21411 and earlier for both Windows and macOS。Acrobat 2024 (Classic Track) version 24.001.30362 and earlier for Windows。Acrobat 2024 (Classic Track) version 24.001.30360 and earlier for macOS。Adobe 将这些更新评为优先级 2,意味着目前没有已知的活跃漏洞利用,但应及时实施补丁以防止未来攻击。Adobe 强烈建议将软件安装更新到新修补版本:连续轨道为 26.001.21431,经典 2024 轨道为 24.001.30365。用户和 IT 管理员可以通过以下方法保护环境安全:1、打开 Adobe 应用程序,手动触发补丁,方法是进入帮助并选择“检查更新”。2、如果启用了自动更新,可以依靠自动更新,后台自动修补软件,无需用户手动干预。3、直接从官方 Adobe Acrobat Reader 下载中心下载最新的完整安装包。4、使用标准管理工具如 Windows 的 SCCM 或 macOS 的 Apple Remote Desktop 在托管企业环境中部署更新。
夜雨聆风
