Deux jours après les premières révélations sur une faille zero-day exploitée dans Acrobat Reader, Adobe publie un correctif d’urgence et requalifie le bug en vulnérabilité susceptible de mener à une exécution de code arbitraire.
Cette fois, il y a bien un patch. Adobe a publié ce weekend un correctif pour la faille zero-day CVE-2026-34621, qui touche plusieurs versions d’Acrobat Reader, sur Windows comme sur macOS. L’éditeur reconnaît noir sur blanc que la vulnérabilité est exploitée dans la nature, alors que les travaux publiés quelques jours plus tôt par EXPMON décrivaient déjà un PDF piégé capable de collecter des informations sur la machine visée, puis de préparer l’envoi d’une charge supplémentaire selon le profil établi.
Un patch enfin disponible, une faille requalifiée
Le correctif vise plusieurs branches encore largement déployées. Sont concernées Acrobat DC et Acrobat Reader DC jusqu’en version 26.001.21367, désormais corrigées en 26.001.21411, ainsi qu’Acrobat 2024 jusqu’en version 24.001.30356, corrigée en 24.001.30362 sous Windows et 24.001.30360 sur macOS. Adobe recommande d’installer la mise à jour sans attendre, soit par une vérification manuelle, soit via l’outil de mise à jour automatique intégré au logiciel.
L’éditeur ne présente plus seulement la faille comme un vecteur de fuite d’informations, mais comme une vulnérabilité susceptible de mener à une exécution de code arbitraire. Son score CVSS a pourtant été ramené à 8.6 après une première évaluation plus élevée, non parce que le risque aurait été revu à la baisse, mais parce que le scénario d’exploitation retenu a changé. Il n’est plus question d’une exploitation via le réseau, mais d’une attaque locale déclenchée à l’ouverture d’un fichier PDF piégé. Le mode opératoire apparaît donc plus restreint qu’envisagé au départ, sans pour autant modifier la nature du risque.
Dans son avis de sécurité, Adobe décrit CVE-2026-34621 comme un cas de prototype pollution. Plus concrètement, des attaquants peuvent exploiter cette faille via un PDF piégé pour injecter des propriétés malveillantes dans une base commune, le prototype, utilisée par le moteur JavaScript d'Acrobat Reader. Le code exécuté depuis le document peut alors se voir accorder des droits qui n’auraient jamais dû lui être ouverts, comme la possibilité de lire des fichiers stockés localement, d’envoyer des données vers un serveur distant, puis de charger en retour de nouvelles instructions malveillantes.
Une campagne active depuis fin 2025
Pour rappel, les équipes d’EXPMON, à l’origine de la découverte de la vulnérabilité, avaient d’abord analysé un échantillon repéré fin mars, avant de signaler une autre variante apparue sur VirusTotal dès le 28 novembre 2025. L’exploitation de la faille remonte donc au moins à la fin de l’année dernière.
Les éléments publiés par les chercheurs décrivaient aussi un PDF malveillant chargé de collecter des informations sur la machine visée, de les transmettre à une infrastructure distante, puis d’ajuster la suite de l’attaque selon le profil ainsi établi. Le document ne constituait donc pas nécessairement la charge finale, mais une première étape de sélection destinée à orienter les actions suivantes.
Le correctif étant désormais disponible, il doit être installé sans tarder sur les versions d’Acrobat Reader vulnérables. De manière générale, on rappellera aussi qu’un PDF envoyé depuis une adresse inconnue, ou reçu sans motif identifiable, ne devrait jamais être ouvert sans vérification préalable.
Une faille zero-day est une vulnérabilité connue des attaquants (ou découverte publiquement) avant qu’un correctif ne soit disponible, ce qui laisse une fenêtre d’attaque sans défense officielle. Lorsqu’elle est dite « exploitée dans la nature », cela signifie qu’elle est déjà utilisée dans des attaques réelles, et pas seulement démontrée en laboratoire. Le risque est alors plus urgent, car des victimes peuvent déjà être ciblées via des documents ou des liens piégés. Un correctif d’urgence vise à réduire au plus vite cette exposition, mais il n’est efficace que s’il est déployé sur les postes concernés.
Que veut dire « exécution de code arbitraire » dans un lecteur PDF comme Adobe Acrobat Reader ?L’exécution de code arbitraire (RCE) décrit la capacité, pour un attaquant, à faire exécuter au logiciel vulnérable des instructions choisies par lui. Dans le cas d’un lecteur PDF, cela peut partir d’un fichier PDF spécialement conçu qui détourne le moteur interne (par exemple JavaScript) pour sortir du comportement prévu. Selon les protections en place et les droits de l’utilisateur, l’attaque peut permettre de lire ou modifier des fichiers, d’installer d’autres composants, ou de lancer des actions réseau. En pratique, une RCE transforme un simple document en point d’entrée potentiel vers une compromission plus large de la machine.
En quoi consiste une « prototype pollution » dans un moteur JavaScript, et pourquoi c’est dangereux ?La prototype pollution est une classe de bugs JavaScript où des propriétés malveillantes sont injectées dans un objet « prototype » partagé, dont héritent ensuite d’autres objets. Cela peut modifier le comportement du code qui s’exécute, en trompant des contrôles de sécurité ou en forçant des paramètres inattendus. Dans un environnement comme Acrobat Reader, où JavaScript sert à gérer des fonctionnalités de documents, une pollution du prototype peut aider à contourner des garde-fous et à obtenir des capacités non prévues. Le danger vient du caractère transversal : une modification du prototype peut influencer de nombreuses opérations, ce qui facilite l’enchaînement vers des actions sensibles (accès local, exfiltration, chargement de charge utile).
