Kritická chyba v Adobe Readeru zneužívá k útokům PDF. Celé měsíce to nikdo nespravil

Útočníci měli nejméně 4 měsíce na to, aby přes podvržené PDF dokumenty profilovali oběti a sbírali data z jejich počítačů, než si toho vůbec někdo všiml.

Zdroj fotografie: Unsplash

Koncem listopadu 2025 se na platformě VirusTotal objevil nenápadný PDF soubor. Žádný alarm se nespustil, detekce antivirů byla minimální, pouhých 5 ze 64 motorů. Uvnitř souboru ale čekal podvodný JavaScript, který po otevření v Adobe Readeru tiše zneužil dosud neopravenou zranitelnost, sbíral systémová data a odesílal je na vzdálený server. Teprve 7. dubna 2026 bezpečnostní výzkumník Haifei Li z projektu EXPMON publikoval analýzu, která celý řetězec poprvé veřejně rozebrala. Adobe záplatu vydal až 11. dubna 2026. Mezi prvním známým vzorkem a opravou uplynulo přes čtyři měsíce tichého zneužívání.

Co se stane, když otevřete špatné PDF

Řetězec útoku je elegantně jednoduchý, a právě proto nebezpečný. Stačí otevřít podvržený dokument v Adobe Acrobat Readeru. Žádné makro, žádný další klik, žádné potvrzovací okno.

Po otevření se spustí podvodný JavaScript, který zneužije chybu označenou jako CVE-2026-34621, jde o takzvanou prototype pollution (CWE-1321), tedy nesprávně kontrolovanou modifikaci prototypových atributů objektů. Exploit díky ní získá přístup k privilegovaným Acrobat API, která by za normálních okolností JavaScript v PDF volat nemohl. Konkrétně:

• Přečte jazyk systému, verzi Readeru, přesnou verzi operačního systému a lokální cestu k otevřenému souboru.
• Přes funkci „util.readFileIntoStream()“ dokáže číst i další lokální soubory dostupné procesu Readeru.
• Přes „RSS.addFeed()“, legitimní součást Acrobat SDK, odešle sebraný profil na vzdálený server.
• Server může v odpovědi vrátit další JavaScript, který se skutečně spustí. Li to ve vlastním testu ověřil.

Jde o klasický otisk zařízení: útočník nejdřív zjistí, koho napadl, a teprve pak rozhodne, jestli doručí druhou fázi, potenciálně vzdálené spuštění kódu nebo únik ze sandboxu.

Čtyři měsíce ve tmě

Časová osa ukazuje, jak dlouho měli útočníci volné pole:

• 28. listopadu 2025 – na VirusTotal se objevuje starší varianta exploitu. Nejstarší veřejně dohledatelná stopa kampaně.
• 23. března 2026 – na VirusTotal přibývá novější vzorek.
• 26. března 2026 – vzorek je nahrán do systému EXPMON, který ho automaticky označí jako podezřelý.
• 7. dubna 2026 – Haifei Li publikuje první veřejnou analýzu, den poté doplňuje nález starší varianty z listopadu.
• 11. dubna 2026 – Adobe vydává bezpečnostní aktualizaci APSB26-43.
• 13. dubna 2026 – americká agentura CISA zařazuje chybu do katalogu aktivně zneužívaných zranitelností (KEV) s termínem nápravy do 27. dubna.

Zajímavý detail: Adobe den po vydání záplaty zpětně opravil hodnocení závažnosti. Původní CVSS skóre 9,6 snížil na 8,6, přehodnotil vektor útoku z „Network“ na „Local“, protože exploit vyžaduje, aby uživatel soubor skutečně otevřel. I tak jde o kritickou závažnost.

Proč je to horší, než vypadá

Technicky existují nebezpečnější zranitelnosti, takové, které nevyžadují žádnou interakci. Jenže CVE-2026-34621 útočí přes formát, kterému firmy důvěřují ze své podstaty. Faktury, dodací listy, celní dokumenty, smlouvy, objednávky, PDF je lingua franca obchodní komunikace. Účetní oddělení, logistika, procurement, zákaznická podpora: všude se denně otevírají desítky externích PDF, často od neznámých odesílatelů.

Pro srovnání: lednová zero-day v Microsoft Office (CVE-2026-21509) měla v únorovém bezpečnostním updatu nižší závažnost a nebyla zařazena do CISA KEV. Obě chyby jsou silné pro cílený kybernetický podvod přes dokument, ale u Adobe varianty je potvrzené reálné zneužívání a delší okno exploatace.

Veřejně potvrzené české případy jsme v materiálech NÚKIB, ani v čtvrtletním přehledu hrozeb za Q1 2026, nedohledali. To ale neznamená, že se kampaň českým firmám vyhnula. Znamená to jen, že veřejné potvrzení chybí.

Co udělat hned

Záplata existuje od 11. dubna 2026. Opravené buildy jsou 26.001.21411 pro Continuous track a 24.001.30362 / 24.001.30360 pro Acrobat 2024. Následný update 26.001.21431 z 14. dubna přidává další opravy, nejlepší je aktualizovat na nejnovější dostupnou verzi přes „Nápověda > Zkontrolovat aktualizace“.

Pokud jste v posledních měsících otevírali neočekávaná PDF v Adobe Readeru, stojí za to zkontrolovat víc než jen verzi softwaru:

• Prověřte odchozí síťová spojení na IP adresy „169.40.2.68:45191“ a „188.214.34.20:34123“, které Li identifikoval jako C2 servery.
• V proxy logách hledejte HTTP/HTTPS provoz s user-agentem „Adobe Synchronizer“.
• Podezřelé soubory nemazejte, uchovejte kopii pro případnou forenzní analýzu.
• Alternativní PDF prohlížeče (Foxit, vestavěné prohlížeče v Chrome nebo Edge) nejsou na tuto konkrétní CVE veřejně potvrzeny jako zranitelné. Pro nevyžádané přílohy mohou být rozumnou první volbou.

Spoléhat na antivir nestačí. V době odhalení měl škodlivý vzorek detekci pod 8 %. Nejúčinnější obrana je ta nejbanálnější: neotevírat neočekávaná PDF na neaktualizované stanici.