夜雨聆风周六深夜,Adobe紧急发布了一份安全公告,打了一个不寻常的补丁。
不寻常在哪?这个漏洞编号CVE-2026-34621,CVSS评分9.6(满分10),影响Windows和macOS上所有版本的Acrobat和Reader——但最让人后背发凉的是:这个漏洞已经被黑客利用了至少5个月,从2025年11月就开始了。
也就是说,过去小半年里,你每一次打开PDF文件,都可能在不知不觉中把自己的电脑交给了攻击者。
一个研究员的偶然发现
发现这个漏洞的人叫李海飞(Haifei Li),安全圈的老兵,先后在McAfee、Fortinet和Check Point工作过。他创建了一个叫EXPMON的沙箱平台,专门用来捕获"野外"的文件型漏洞利用。
4月7日,EXPMON检测到一个精心构造的PDF文件,行为异常。李海飞深入分析后发现,这不是普通的恶意PDF——它利用了Adobe Reader中一个全新的漏洞,通过"原型属性篡改"(prototype pollution)实现任意代码执行。
更让他震惊的是,追溯VirusTotal上的样本上传记录,最早的利用痕迹可以追溯到2025年11月。长达5个月,全球数亿Adobe Reader用户都暴露在这个漏洞之下,而没有任何安全厂商察觉。
不只是"信息泄露"这么简单
李海飞在最初的披露中指出,他捕获的这个exploit样本主要用于窃取信息。但他特别警告:这只是攻击链的第一步。后续阶段很可能包括远程代码执行和沙箱逃逸——换句话说,攻击者可以完全控制你的电脑。
Adobe在正式公告中证实了这一点:CVE-2026-34621确实可以被利用来执行任意代码,而不仅仅是信息窃取。
安全分析师Gi7w0rm在社交媒体上进一步指出,从攻击的复杂程度和持续时间来看,背后极有可能是国家级APT(高级持续性威胁)组织。普通黑客团伙很难维持如此长时间的隐蔽利用而不被发现。
为什么这件事比你想的更严重
你可能会想:我又不用Adobe Reader,跟我有什么关系?
但现实是,Adobe Acrobat和Reader仍然是全球使用最广泛的PDF软件之一。根据Adobe的官方数据,全球有超过3亿人使用其PDF产品。在企业环境中,Acrobat更是事实上的标准——合同、发票、报告、简历,几乎所有正式文档都以PDF形式流转。
这意味着攻击者只需要发一封带PDF附件的邮件,就能悄无声息地入侵一台电脑。而且这个漏洞在Windows和macOS上都能利用,覆盖面极广。
更令人不安的是时间线:从2025年11月到2026年4月,整整5个月。在这段时间里,全球有多少台电脑被入侵?有多少敏感数据被窃取?我们可能永远不会知道完整的答案。
你现在应该做什么
Adobe已经发布了紧急补丁:
Acrobat DC / Reader DC:更新到版本 26.001.21411 Acrobat 2024:更新到版本 24.001.30362(Windows)或 24.001.30360(macOS)
如果你的电脑上装了任何Adobe PDF软件,立即更新。不是明天,不是下周,是现在。
如果你在企业环境中负责IT管理,这应该被列为最高优先级的安全事件。建议同时检查过去几个月的邮件日志,排查是否有可疑的PDF附件。
一个更深层的问题
这次事件再次暴露了一个老生常谈但始终没有解决的问题:我们的数字基础设施中,到底还埋着多少没被发现的零日漏洞?
Adobe Reader这样的软件,装机量以亿计,每天处理无数敏感文档。但一个CVSS 9.6的漏洞,竟然在野外被利用了5个月才被一个独立研究员偶然发现。这不是Adobe一家的问题,而是整个软件行业的警钟。
当我们把越来越多的工作搬到线上,当AI让攻击变得更加自动化和智能化,这种"沉默的零日"可能会越来越多。而发现它们的速度,远远跟不上它们被制造和利用的速度。
打完补丁之后,也许我们都应该想想:下一个被悄悄利用5个月的零日漏洞,又在哪里?
参考链接:
https://www.securityweek.com/adobe-patches-reader-zero-day-exploited-for-months/[1]
引用链接
[1]https://www.securityweek.com/adobe-patches-reader-zero-day-exploited-for-months/
