Adobe Acrobat Reader 的用戶數(shù)據(jù)正在裸奔——而且已經(jīng)跑了三個月。

安全研究員 Haifei Li 最近捕獲了一個"高度復雜的指紋型 PDF 漏洞"，評分 8.6/10。攻擊者只需讓你打開一份 PDF，就能在后臺完成信息竊取，甚至進一步奪取系統(tǒng)控制權(quán)。Adobe 直到 2025 年 4 月才發(fā)布補丁，而漏洞從 2025 年 12 月就開始被野外利用。

零點擊攻擊：打開即中招

這個編號 CVE-2026-34621 的漏洞屬于"對象原型屬性控制不當"類型。攻擊者構(gòu)造的惡意 PDF 不需要你點擊任何按鈕、不需要啟用宏、不需要彈窗確認——雙擊打開的瞬間，代碼已經(jīng)在你的權(quán)限下執(zhí)行。

Haifei Li 的描述很直接：「這個漏洞在最新版 Adobe Reader 上無需任何用戶交互即可工作。」換句話說，你以為是正常閱讀文檔，實際上是給攻擊者開了后門。

影響范圍覆蓋多個版本：Acrobat DC 26.001.21367 及更早版本、Acrobat 2024 的 24.001.30356 及更早版本。Windows 和 Mac 雙平臺中招。

攻擊鏈：從偷指紋到奪權(quán)限

這個漏洞的陰險之處在于分層設計。第一階段是"指紋采集"——PDF 里的惡意代碼會靜默收集你的系統(tǒng)信息：操作系統(tǒng)版本、已安裝軟件、網(wǎng)絡配置，甚至特定文件的存在性。

這些數(shù)據(jù)回傳后，攻擊者會篩選高價值目標，對特定人群啟動第二階段：遠程代碼執(zhí)行（RCE）和沙箱逃逸（SBX）。Li 的原話是：「可能導致對受害者系統(tǒng)的完全控制。」

分析師 Gi7w0rm 追蹤到一批攻擊樣本，發(fā)現(xiàn)誘餌 PDF 的內(nèi)容指向俄羅斯油氣行業(yè)的近期事件，文檔語言為俄語。這意味著攻擊者至少對特定地理區(qū)域和行業(yè)有明確 targeting，而非廣撒網(wǎng)式釣魚。

Adobe 的回應：沒有后門，只有前門

Adobe 的安全公告措辭干脆：沒有緩解措施，沒有臨時方案，唯一的修復方式是更新。用戶可以通過 Help - Check for Updates 自動升級，或從官網(wǎng)下載完整安裝包。

修復版本號已經(jīng)明確：Acrobat DC 和 Reader DC 需升級至 26.001.21411；Acrobat 2024 的 Windows 用戶需 24.001.30362，Mac 用戶需 24.001.30360。

但這里有個產(chǎn)品經(jīng)理視角的觀察：Adobe 的自動更新機制在部分企業(yè)環(huán)境中是被禁用的——IT 部門為了穩(wěn)定性，往往推遲補丁測試和部署。這意味著即使官方補丁已發(fā)布，大量企業(yè)終端仍處于暴露狀態(tài)。

PDF 作為攻擊載體的復興

PDF 曾是釣魚郵件的標配，但近年來被宏病毒、瀏覽器漏洞搶去風頭。這次事件標志著 PDF 作為攻擊載體的技術(shù)升級：從"騙你點擊"進化到"零交互執(zhí)行"。

指紋采集 + 選擇性 RCE 的組合尤其針對企業(yè)環(huán)境。攻擊者不再追求一次性大規(guī)模感染，而是先篩選目標，對高價值系統(tǒng)精準打擊。這種手法降低了被安全廠商早期發(fā)現(xiàn)的概率，也提高了單點攻擊的成功率。

對于每天處理數(shù)十份 PDF 的商務用戶、法務、財務人群，這次漏洞的修復窗口期只有"立即"這一個選項。三個月的野外利用時間，足夠攻擊者建立持久的系統(tǒng)訪問權(quán)限。

你上次檢查 Acrobat Reader 版本是什么時候？