**Adobe** は、現在活発に悪用されている **Acrobat Reader** の重大なセキュリティ上の欠陥を修正するための緊急アップデートをリリースしました。 CVE ID **CVE-2026-34621** が割り当てられたこの脆弱性は、CVSS スコア 10.0 点中 8.6 点です。この欠陥が悪用されると、攻撃者は影響を受けるインストール環境で悪意のあるコードを実行できるようになります。 これはプロトタイプ汚染の一例として説明されており、任意のコード実行につながる可能性があります。プロトタイプ汚染とは、攻撃者がアプリケーションのオブジェクトやプロパティを操作できる **JavaScript** のセキュリティ脆弱性です。 この問題は、Windows および macOS の以下の製品とバージョンに影響します。 * Acrobat DC バージョン 26.001.21367 以前 (26.001.21411 で修正済み) * Acrobat Reader DC バージョン 26.001.21367 以前 (26.001.21411 で修正済み) * Acrobat 2024 バージョン 24.001.30356 以前 (Windows 用は 24.001.30362、macOS 用は 24.001.30360 で修正済み) **Adobe** は、「**CVE-2026-34621** が悪用されていることを認識している」と認めています。 この開発は、セキュリティ研究者であり EXPMON の創設者である **Haifei Li** 氏が、特別に細工された PDF ドキュメントを **Adobe Reader** で開いた際に悪意のある **JavaScript** コードを実行するゼロデイ悪用の詳細を明らかにしてから数日後のことです。この脆弱性は、2025 年 12 月から悪用されていた可能性を示唆する証拠があります。 EXPMON は X での投稿で、「**Adobe** はこのバグが情報漏洩だけでなく、任意のコード実行につながる可能性があると判断したようです。これは、私たちの発見や、過去数日間の他のセキュリティ研究者の発見とも一致しています。」と述べています。 ### 更新 米国 **サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA)** は、2026 年 4 月 13 日に **CVE-2026-34621** を既知の悪用済み脆弱性 (KEV) カタログに追加し、連邦市民執行機関 (FCEB) に対して 2026 年 4 月 27 日までに修正を適用することを義務付けました。 *(この記事は、CVSS スコアが 9.6 から 8.6 に変更されたことを反映するために、公開後に更新されました。2026 年 4 月 12 日の勧告の改訂で、**Adobe** は攻撃ベクトルをネットワーク (AV:N) からローカル (AV:L) に調整したと述べています。)*