📰 Source : BleepingComputer — Date : 13 avril 2026

Adobe a publié une mise à jour de sécurité d’urgence pour Acrobat Reader afin de corriger la vulnérabilité CVE-2026-34621, activement exploitée en conditions réelles depuis au moins décembre 2025.

🔍 Nature de la vulnérabilité

La faille permet à des fichiers PDF malveillants de contourner les restrictions du sandbox d’Acrobat Reader et d’invoquer des API JavaScript privilégiées, pouvant mener à une exécution de code arbitraire. Aucune interaction utilisateur n’est requise au-delà de l’ouverture du PDF.

L’exploit abuse notamment des API suivantes :

  • util.readFileIntoStream() — lecture de fichiers locaux arbitraires
  • RSS.addFeed() — exfiltration de données et récupération de code contrôlé par l’attaquant

🧪 Découverte et analyse

La vulnérabilité a été découverte par Haifei Li, fondateur du système de détection d’exploits EXPMON, après la soumission d’un échantillon PDF nommé yummy_adobe_exploit_uwu.pdf le 26 mars. Ce fichier avait été soumis à VirusTotal trois jours auparavant, où seulement 5 des 64 éditeurs l’avaient détecté comme malveillant. Le chercheur Gi7w0rm a identifié des attaques actives utilisant des documents en langue russe avec des leurres liés au secteur pétrolier et gazier.

⚠️ Sévérité et produits impactés

La vulnérabilité a été initialement notée 9.6 (critique) avec un vecteur réseau, puis réévaluée à 8.6 après correction du vecteur en local. Les produits impactés (Windows et macOS) :

  • Acrobat DC ≤ 26.001.21367 → corrigé en 26.001.21411
  • Acrobat Reader DC ≤ 26.001.21367 → corrigé en 26.001.21411
  • Acrobat 2024 ≤ 24.001.30356 → corrigé en 24.001.30362 (Windows) / 24.001.30360 (Mac)

📋 Type d’article : Patch de sécurité — cet article vise à informer les utilisateurs et professionnels de la disponibilité d’un correctif critique pour une vulnérabilité zero-day activement exploitée.

🧠 TTPs et IOCs détectés

TTP

  • T1566.001 — Phishing: Spearphishing Attachment (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1005 — Data from Local System (Collection)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1203 — Exploitation for Client Execution (Execution)
  • T1548 — Abuse Elevation Control Mechanism (Privilege Escalation)

IOC

  • CVEs : CVE-2026-34621NVD · CIRCL
  • Fichiers : yummy_adobe_exploit_uwu.pdf

Malware / Outils

  • EXPMON (tool)

🟡 Indice de vérification factuelle : 51/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 2978 chars — texte partiel (10pts)
  • ✅ 2 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/adobe-rolls-out-emergency-fix-for-acrobat-reader-zero-day-flaw/