概要
AdobeはAcrobat Readerに存在する重大なゼロデイ脆弱性CVE-2026-34621に対する緊急セキュリティパッチを公開した。CVSSスコアは8.6(重大)で、「プロトタイプ汚染(Prototype Pollution)」と分類されるこの脆弱性は、特別に細工されたPDFファイルを開くだけで悪意のあるJavaScriptコードが実行される。Adobeは野生での悪用を公式に確認しており、対象製品のユーザーには早急なアップデート適用が強く求められている。
技術的詳細
プロトタイプ汚染攻撃とは、JavaScriptの基本オブジェクトプロトタイプを攻撃者が改ざんする手法だ。多くのオブジェクトは共通プロトタイプから属性を継承する仕組みを持つため、入力値の検証が不十分な場合にアプリケーション全体のオブジェクトとプロパティを操作され、任意コードの実行が可能になる。
今回確認された攻撃では二段階の手法が採用されている。まずutil.readFileIntoStream()APIを悪用して被害者のシステムから機密データを読み取り、次にRSS.addFeed()を通じて窃取した情報を攻撃者のリモートサーバーへ送信する。さらに、ターゲットのプロファイリング結果に応じて追加の悪意あるJavaScriptを受け取る二段構えの仕組みも確認された。セキュリティ研究者Haifei Li氏(EXPMON創設者)が3月26日に疑わしいPDFを発見・分析した際、VirusTotalでの検出率はわずか64製品中13製品と低く、従来のウイルス対策をすり抜けていた点も脅威の深刻さを示している。
影響を受ける製品とパッチ情報
本脆弱性が影響する製品とバージョンは以下のとおり:
| 製品 | 影響を受けるバージョン | 修正バージョン |
|---|---|---|
| Acrobat DC / Acrobat Reader DC | 26.001.21367以前 | 26.001.21411 |
| Acrobat 2024 | 24.001.30356以前 | 最新版へ更新 |
対象プラットフォームはWindowsおよびmacOSの両方。悪用は2025年12月頃から確認されており、パッチ公開前から長期にわたって利用されていた可能性がある。Adobeは自動アップデート機能を通じた配布を行っているが、手動でのアップデート確認も推奨している。