**Adobe** は、12月以降ゼロデイ攻撃で悪用されていた **CVE-2026-34621** として追跡されている脆弱性を修正するため、**Acrobat Reader** に対する緊急セキュリティアップデートをリリースしました。 ### 脆弱性の詳細 この欠陥により、悪意のある PDF ファイルはサンドボックスの制限をバイパスし、特権 JavaScript API を呼び出すことができ、任意のコード実行につながる可能性があります。攻撃で確認されたエクスプロイトは、任意のローカルファイルを読み取って盗むことを可能にします。悪意のある PDF を開く以外のユーザー操作は必要ありません。 具体的には、エクスプロイトは `util.readFileIntoStream()` のような API を悪用して任意のローカルファイルを読み取り、`RSS.addFeed()` を使用してデータを漏洩させ、攻撃者が制御する追加コードを取得します。 ### 発見 このセキュリティ問題は、**EXPMON** エクスプロイト検出システムの創設者である **Haifei Li** 氏が、分析のために "*yummy_adobe_exploit_uwu.pdf*" という名前の PDF サンプルを受け取った後に発見しました。 **Haifei Li** 氏によると、このサンプルは 3 月 26 日に **EXPMON** に提出されましたが、その 3 日前に **VirusTotal** に送信されており、当時 64 のセキュリティベンダーのうち 5 社しか悪意のあるものとしてフラグを立てていませんでした。 研究者は、エクスプロイト検出システムが、**Haifei Li** 氏が特に **Adobe Reader** のために開発した高度な検出機能である「detection in depth」機能を起動した後、この問題を手動で調査することを決定したと、先週の [ブログ投稿](https://justhaifei1.blogspot.com/) で述べています。 セキュリティ研究者の Gi7w0rm は、石油・ガス産業の誘いを使ったロシア語の文書を利用した、実世界での攻撃を確認しています。 ### Adobe の対応 Li 氏からの報告を受け取った後、**Adobe** は週末に [セキュリティアドバイザリ](https://helpx.adobe.com/security/products/acrobat/apsb26-43.html) を公開し、この脆弱性に **CVE-2026-34621** トラッカーを割り当てました。 当初、この欠陥はネットワーク攻撃ベクトルを持つクリティカル（9.6）と評価されていましたが、**Adobe** はその後、ベクトルをローカルに変更した後、深刻度を 8.6 に引き下げました。 ### 影響を受ける製品 ベンダーは、以下の Windows および macOS 製品が影響を受けるとリストアップしています。 * Acrobat DC バージョン 26.001.21367 以前（バージョン 26.001.21411 で修正済み） * Acrobat Reader DC バージョン 26.001.21367 以前（バージョン 26.001.21411 で修正済み） * Acrobat 2024 バージョン 24.001.30356 以前（Windows ではバージョン 24.001.30362、Mac ではバージョン 24.001.30360 で修正済み） ### 対策 **Adobe** は、上記のソフトウェアのユーザーに対し、「ヘルプ > 更新プログラムの確認」を通じてアプリケーションを更新することを推奨しています。これにより、自動更新がトリガーされます。 または、ユーザーは **Adobe** の [公式ソフトウェアポータル](https://get.adobe.com/reader) から **Acrobat Reader** インストーラーをダウンロードすることもできます。 アドバイザリには、回避策や緩和策は記載されていなかったため、セキュリティアップデートの適用が唯一推奨されるアクションです。 ただし、ユーザーは常に、送信元が不明な PDF ファイルには注意し、疑わしい場合はサンドボックス化された環境で開くべきです。