Adobe 8.6分高危漏洞已遭利用3个月，你的PDF正在偷跑数据

Adobe Acrobat Reader 的用户数据正在裸奔——而且已经跑了三个月。

安全研究员 Haifei Li 最近捕获了一个"高度复杂的指纹型 PDF 漏洞"，评分 8.6/10。攻击者只需让你打开一份 PDF，就能在后台完成信息窃取，甚至进一步夺取系统控制权。Adobe 直到 2025 年 4 月才发布补丁，而漏洞从 2025 年 12 月就开始被野外利用。

零点击攻击：打开即中招

这个编号 CVE-2026-34621 的漏洞属于"对象原型属性控制不当"类型。攻击者构造的恶意 PDF 不需要你点击任何按钮、不需要启用宏、不需要弹窗确认——双击打开的瞬间，代码已经在你的权限下执行。

Haifei Li 的描述很直接：「这个漏洞在最新版 Adobe Reader 上无需任何用户交互即可工作。」换句话说，你以为是正常阅读文档，实际上是给攻击者开了后门。

影响范围覆盖多个版本：Acrobat DC 26.001.21367 及更早版本、Acrobat 2024 的 24.001.30356 及更早版本。Windows 和 Mac 双平台中招。

攻击链：从偷指纹到夺权限

这个漏洞的阴险之处在于分层设计。第一阶段是"指纹采集"——PDF 里的恶意代码会静默收集你的系统信息：操作系统版本、已安装软件、网络配置，甚至特定文件的存在性。

这些数据回传后，攻击者会筛选高价值目标，对特定人群启动第二阶段：远程代码执行（RCE）和沙箱逃逸（SBX）。Li 的原话是：「可能导致对受害者系统的完全控制。」

分析师 Gi7w0rm 追踪到一批攻击样本，发现诱饵 PDF 的内容指向俄罗斯油气行业的近期事件，文档语言为俄语。这意味着攻击者至少对特定地理区域和行业有明确 targeting，而非广撒网式钓鱼。

Adobe 的回应：没有后门，只有前门

Adobe 的安全公告措辞干脆：没有缓解措施，没有临时方案，唯一的修复方式是更新。用户可以通过 Help - Check for Updates 自动升级，或从官网下载完整安装包。

修复版本号已经明确：Acrobat DC 和 Reader DC 需升级至 26.001.21411；Acrobat 2024 的 Windows 用户需 24.001.30362，Mac 用户需 24.001.30360。

但这里有个产品经理视角的观察：Adobe 的自动更新机制在部分企业环境中是被禁用的——IT 部门为了稳定性，往往推迟补丁测试和部署。这意味着即使官方补丁已发布，大量企业终端仍处于暴露状态。

PDF 作为攻击载体的复兴

PDF 曾是钓鱼邮件的标配，但近年来被宏病毒、浏览器漏洞抢去风头。这次事件标志着 PDF 作为攻击载体的技术升级：从"骗你点击"进化到"零交互执行"。

指纹采集 + 选择性 RCE 的组合尤其针对企业环境。攻击者不再追求一次性大规模感染，而是先筛选目标，对高价值系统精准打击。这种手法降低了被安全厂商早期发现的概率，也提高了单点攻击的成功率。

对于每天处理数十份 PDF 的商务用户、法务、财务人群，这次漏洞的修复窗口期只有"立即"这一个选项。三个月的野外利用时间，足够攻击者建立持久的系统访问权限。

你上次检查 Acrobat Reader 版本是什么时候？