Adobe ha rilasciato un aggiornamento urgente e fondamentale per correggere una grave vulnerabilità zero-day, identificata come CVE-2026-34621, che ha interessato i suoi principali software di lettura e gestione PDF: Acrobat DC, Reader DC e Acrobat 2024. Questa falla di sicurezza è stata attivamente sfruttata da hacker per un periodo di almeno quattro mesi, prima che fosse disponibile una patch. L'attacco consentiva l'installazione di malware sui dispositivi delle vittime, sia su sistemi Windows che macOS, semplicemente inducendole ad aprire documenti PDF appositamente manipolati.
La natura "zero-day" della vulnerabilità indica che gli aggressori la stavano già utilizzando per compromettere i sistemi prima che Adobe potesse sviluppare e distribuire una soluzione.
La scoperta e la portata della minaccia
La vulnerabilità CVE-2026-34621 permetteva agli attaccanti di eseguire codice malevolo e, in caso di successo dell'exploit, di ottenere il controllo completo dei sistemi colpiti, potendo accedere a un ampio ventaglio di dati sensibili. Il ricercatore di sicurezza Haifei Li, fondatore del sistema di rilevazione exploit EXPMON, ha giocato un ruolo cruciale nella scoperta di questa minaccia. Li ha individuato l'exploit dopo che una copia di un PDF infetto è stata caricata su uno dei suoi scanner di malware.
Ulteriori evidenze suggeriscono che una versione del PDF dannoso fosse già apparsa su VirusTotal alla fine di novembre 2025, indicando l'inizio della campagna di attacco in quel periodo. L'ampia diffusione dei software Adobe li rende un bersaglio costante per cybercriminali e gruppi di hacking, che da tempo abusano delle debolezze di questi programmi per rubare dati.
Dettagli tecnici e le versioni coinvolte
La falla è stata identificata come un caso di 'prototype pollution' in JavaScript, una tecnica che consente la manipolazione di oggetti e proprietà all'interno dell'applicazione. Questo tipo di difetto è particolarmente pericoloso poiché, se sfruttato con successo, può portare all'esecuzione arbitraria di codice sui sistemi vulnerabili.
I prodotti e le versioni interessate su Windows e macOS includevano Acrobat DC e Reader DC fino alla versione 26.001.21367. Per Acrobat 2024, erano vulnerabili le versioni fino alla 24.001.30356. Adobe ha prontamente rilasciato le correzioni necessarie, aggiornando Acrobat DC e Reader DC alla versione 26.001.21411. Per Acrobat 2024, le patch sono state implementate nelle versioni 24.001.30362 per Windows e 24.001.30360 per macOS.
L'intervento della CISA e le raccomandazioni urgenti
L'importanza e la gravità di questi aggiornamenti sono state ulteriormente sottolineate dall'intervento della U.S. Cybersecurity and Infrastructure Security Agency (CISA). L'agenzia ha incluso ufficialmente la vulnerabilità CVE-2026-34621 nel suo catalogo delle Known Exploited Vulnerabilities, un elenco di difetti di sicurezza attivamente sfruttati.
Questa inclusione ha comportato l'imposizione di un obbligo per tutte le agenzie federali civili di applicare le correzioni entro il 27 aprile 2026, evidenziando l'urgenza e la criticità della minaccia a livello nazionale.
Per mitigare i rischi e proteggere i propri sistemi, Adobe ha esortato tutti gli utenti a procedere con l'aggiornamento immediato dei loro software alle ultime versioni disponibili. La tempestività nell'applicazione delle patch è un fattore cruciale per garantire la sicurezza dei dispositivi e la protezione dei dati personali dagli attacchi informatici. Questa vicenda ribadisce l'importanza fondamentale della manutenzione e dell'aggiornamento regolare dei sistemi software, in particolare quelli ampiamente utilizzati come i lettori PDF, che rimangono obiettivi primari e costanti per i criminali informatici.
