Adobe 修復已被駭客利用數月的 PDF 零日安全漏洞

Adobe 已修復其旗艦文件閱讀應用程式 Acrobat DC、Reader DC 和 Acrobat 2024 中的一個漏洞，駭客已積極利用該漏洞至少四個月。

此漏洞的官方追蹤編號為 CVE-2026-34621，駭客可藉此誘使受害者在其 Windows 裝置或 macOS 電腦上開啟惡意製作的 PDF 檔案，進而遠端在裝置上植入惡意軟體。該攻擊鎖定的是某些版本 Adobe Reader 軟體中的漏洞。

目前尚不清楚有多少人受到此次駭客行動的影響。Adobe 在其網站的一份說明中表示，已獲悉該漏洞正被用於實際攻擊（即「零日漏洞」），這顯示在 Adobe 修復該漏洞之前，駭客就已經利用它入侵他人的電腦。

雖然目前尚不清楚誰是這場駭客行動的幕後黑手，但由於 Adobe PDF 閱讀軟體極為普及，使其成為網路罪犯和政府資助駭客的長期目標，他們長期以來一直利用該軟體的弱點從他人電腦中竊取數據。

經營漏洞檢測系統 EXPMON 的安全研究員 Haifei Li 在有人將包含該漏洞的惡意 PDF 副本上傳到其惡意軟體掃描器後發現了此漏洞。Li 在一篇部落格文章中寫道，另一個帶有惡意軟體的 PDF 副本最早於 2025 年 11 月下旬出現在另一個線上惡意軟體掃描器 VirusTotal 上。

目前尚不清楚這場駭客行動的目標是誰或出於何種原因，Li 表示無法從駭客的伺服器獲取任何額外的攻擊程式碼。但根據 Li 的分析，開啟惡意 PDF 並觸發該漏洞「可能導致受害者的系統被完全控制」，並讓駭客有能力竊取廣泛的數據。

Adobe 表示 Acrobat DC、Reader DC 和 Acrobat 2024 均受影響，並敦促使用者將其軟體更新至最新版本。