Adobe Acrobat Reader Vulnerabilities Let Attackers Execute Arbitrary Code
2026/04/15 CyberSecurityNews — Adobe が公開したのは、Windows/macOS 向けの Adobe Acrobat/Reader に存在する、2 件の脆弱性 CVE-2026-34622/CVE-2026-34626 に対処する重要なセキュリティ・アドバイザリである。公式アドバイザリによると、これらの脆弱性の悪用に成功した攻撃者は、標的システム上での任意のコード実行または任意のファイル読み取りを可能にする。
これらの脆弱性は、深刻度が高いと評価されているが、現時点で実環境における悪用は確認されていない。ドキュメント・リーダーにおける任意のコード実行はきわめて危険であり、フィッシング・メール上のリンクなどを介して、被害者に細工されたファイルを開かせる手口で多用される。悪意の PDF を開くことで、マルウェアのインストール/機密データ窃取が引き起こされ、企業ネットワーク内での足場の確立が可能となる。
Adobe Acrobat Reader の脆弱性
今回のセキュリティ・パッチは、プロトタイプの汚染 (CWE-1321) に分類される 2 件の脆弱性に対応するものだ。この種の脆弱性は、スクリプトがオブジェクトの標準動作を改変することで発生し、セキュリティ制御の回避を可能にする。
アドバイザリには、以下の技術的詳細が示されている。
- CVE-2026-34622:CVSS 8.6 (Critical):ユーザー・コンテキストにおける任意のコード実行を可能にする。Zscaler の研究者 YH 氏により報告された。
- CVE-2026-34626:CVSS 6.3 (Important):任意のファイル読み取りにより、ローカル機密データの漏洩を引き起こす可能性がある。研究者 greenapple 氏により発見された。
これらの脆弱性が影響を及ぼす範囲は、Windows/macOS 上の Adobe PDF ソフトウェアの複数のトラックである。旧バージョンを使用している場合に、細工されたドキュメントを開くことで侵害が引き起こされるリスクがある。
影響を受ける製品は、以下の通りである。
- Acrobat/Acrobat Reader (Continuous Track):バージョン 26.001.21411 以下 (Windows/macOS)
- Acrobat 2024 (Classic Track):バージョン 24.001.30362 以下 (Windows)
- Acrobat 2024 (Classic Track):バージョン 24.001.30360 以下 (macOS)
対応策
Adobe は、この更新の優先度を “Priority 2” と分類している。現時点で悪用は確認されていないが、攻撃を防止するための迅速な対応が推奨される。推奨される更新バージョンは、以下の通りである。
- Acrobat/Acrobat Reader (Continuous Track):バージョン 26.001.21431
- Acrobat 2024 (Classic Track) :バージョン 24.001.30365
ユーザー/IT 管理者は、以下の方法で環境を保護できる。
- SCCM (Windows)/Apple Remote Desktop (macOS) などの標準管理ツールを用いた、エンタープライズ環境への一括展開。
- アプリケーション内の「ヘルプ」から「アップデートの有無をチェック」を選択し手動更新。
- 自動更新機能の利用によるバックグラウンド適用。
- Adobe Acrobat Reader 公式ダウンロード・センターから最新版インストーラを取得。
これらの更新を適用することで、プロトタイプの汚染に起因する任意コード実行および情報漏洩リスクを低減できる。
訳者後書:今回のアップデートで対処されたのは、プロトタイプ汚染と呼ばれるプログラム上の仕組みに起因する脆弱性です。JavaScript などのスクリプトにより、オブジェクトの標準的な動作が書き換えられてしまうことで、深刻な被害に至ります。 この仕組みが攻撃者に悪用されると、本来は制限されているはずのコード実行やファイル読み取りが許可されてしまう恐れがあります。ご利用のチームは、ご注意ください。よろしければ、Adobe での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.