Adobe、少なくとも4カ月放置されたPDF zero-dayをようやく塞ぐ

PDFは古くて地味だが、いまなお最も効率の良いmalware配送手段の一つだ。だから今回のAdobe patchは重い。4月14日のTechCrunch報道によれば、AdobeはAcrobat DC、Reader DC、Acrobat 2024に影響するzero-day、CVE-2026-34621を修正した。問題は単にvulnerabilityがあったことではない。updateが出る前に、少なくとも4カ月は実際の攻撃で使われていた点だ。

このbugが嫌なのは、攻撃経路があまりにも見慣れているからだ。報道とAdobeのsecurity bulletinによると、攻撃者は細工したPDFを開かせるだけでWindowsやmacOS端末へmalwareを送り込める。Adobeはこの欠陥がexploited in the wildだったと認めた。これは理論上の欠陥と現実のincidentを分ける線である。softwareが弱かっただけでなく、defendersにpatchが届く前にattackersがすでに使いこなしていたということだ。

EXPMONのHaifei Liはmalware scannerへ上がった悪性PDFからこの問題を追跡し、exploitが成功すればvictim systemをほぼ完全に掌握できると分析した。TechCrunchはさらに、別の悪性sampleが2025年11月下旬にVirusTotalへ現れていたと報じている。つまりactive exploitationの時間軸はAdobeのpatchよりかなり前に始まっていた。AdobeはAcrobat DCとReader DCを26.001.21411へ、Acrobat 2024もWindowsとmacOS向けの新buildへ更新するよう促している。

より嫌な教訓はよく知っているものだ。document workflowは企業、学校、政府、consumer devicesに広く残っているため、PDF exploitは人々が無意識に信頼するemailやfile sharingの習慣を通って入ってくる。今回のpatchは一つのbugを閉じたが、「添付を開く」という行動が今でもmodern computingで最も古く、しかも長持ちするattack surfaceの一つである事実は変わらない。security teamに必要なのはpatch適用だけではない。suspiciousなPDF handlingをendpointで確認し、危険なreaderを隔離し、document-heavyな環境は引き続き魅力的な標的だと前提することだ。