Adobe修复PDF零日漏洞 已被黑客利用数月
Adobe已发布安全更新,修复其PDF阅读软件(包括Acrobat DC、Reader DC及Acrobat 2024)中的零日漏洞CVE-2026-34621。该漏洞允许黑客通过恶意PDF文件远程植入恶意软件,攻击Windows和macOS系统。
该漏洞被确认已在野外被黑客利用至少四个月。Adobe在其官网声明中表示,该漏洞属于“零日漏洞”,即在厂商发布补丁前已被攻击者利用。目前尚无确切数据表明受影响用户数量。
安全研究人员Haifei Li通过其恶意软件检测系统EXPMON发现该漏洞,当时有人上传了一份含漏洞利用代码的恶意PDF文件。Li在博客中指出,该恶意PDF文件最早于2025年11月底出现在VirusTotal平台。
根据Li的分析,一旦用户打开恶意PDF并触发漏洞,攻击者可获得对受害系统完全控制权,进而窃取各类敏感数据。Adobe已确认Acrobat DC、Reader DC和Acrobat 2024均受影响,呼吁用户立即更新至最新版本以防范风险。
编辑点评
此次Adobe PDF零日漏洞事件凸显了全球数字基础设施中关键软件的安全脆弱性。PDF作为跨平台、跨系统广泛使用的文档格式,其软件的漏洞极易成为网络攻击的跳板。黑客利用该漏洞长达四个月,说明攻击者具备较高的技术能力和持续运营能力,可能涉及国家支持的APT组织或专业犯罪团伙。
该事件对全球用户构成实质性风险,尤其对政府机构、企业及个人用户而言,一旦被攻破,可能导致数据泄露、身份盗用或系统被用于二次攻击。尽管漏洞已修复,但许多用户未及时更新软件,形成持续的“已知风险敞口”。
从长期看,此类事件推动企业及政府加强软件供应链安全审查,提升自动更新机制与用户安全意识。同时,这也凸显了网络安全中“防御滞后于攻击”的现实挑战,未来需加强前沿威胁情报共享与零日漏洞响应机制建设。