Basta um PDF para invadir um PC com o Acrobat Reader! Adobe reagiu 4 meses depois

A Adobe demorou quatro meses a corrigir uma vulnerabilidade crítica nos PDF no Acrobat Reader. Durante este período, os atacantes já a exploravam para roubar os seus dados. Felizmente a solução já está a ser disponibilizada a todos.

Um PDF para invadir um PC com o Acrobat Reader

A Adobe acaba de lançar uma correcção de emergência para o Acrobat Reader, o seu leitor de PDF instalado em milhões de computadores. A vulnerabilidade, identificada como CVE-2026-34621, permite que um atacante execute código malicioso remotamente. O método é surpreendentemente simples. Basta abrir um documento PDF comprometido. Esta vulnerabilidade tem vindo a ser explorada ativamente desde dezembro de 2025.

A vulnerabilidade baseia-se num mecanismo conhecido como "poluição de protótipo" em JavaScript. Um atacante pode manipular objetos internos da aplicação para obter controlo sobre ele. A pontuação de severidade CVSS foi inicialmente definida em 9,6 em 10, antes de ser revista para 8,6 após análises adicionais. O investigador de segurança Haifei Li foi o primeiro a identificar a exploração.

Os PDF comprometidos analisados ​​​​continham iscos escritos em russo, relacionados com o setor do petróleo e gás. Ao serem abertos no Adobe Reader, os documentos executam JavaScript oculto. O código explora a API interna do Acrobat para ler ficheiros na máquina local. Em seguida, exfiltra esses dados para um servidor remoto e recupera cargas maliciosas adicionais.

A Adobe só reagiu reagiu 4 meses depois do problema

O cenário completo varia desde o roubo de informação e execução de código arbitrário até uma possível violação do sandbox do software. As versões afetadas incluem o Acrobat DC 26.001.21367 e anteriores, bem como o Acrobat 2024 24.001.30356 e anteriores, tanto no Windows como no macOS. A Adobe lançou as correções sob o boletim APSB26-43, classificado como prioridade de nível 1.

Vestígios da exploração datam de dezembro de 2025. A correção, no entanto, só foi lançada a 11 de abril de 2026, com um atraso de quatro meses. A Adobe não detetou o problema e em vez disso, uma ferramenta independente, o EXPMON, concebida para identificar vulnerabilidades em documentos do Office, fê-lo. A sofisticação do ataque explica, em parte, este atraso.

A primeira amostra analisada funcionou como uma ferramenta de perfilagem, avaliando o alvo antes de decidir se iria implantar a próxima etapa do ataque. O servidor remoto nem sempre enviava um payload de volta. Apenas as máquinas que cumpriam determinados critérios recebiam o exploit completo. Esta filtragem dificultou particularmente a deteção em larga escala.

Uma segunda amostra foi detetada no VirusTotal a 23 de março de 2026, confirmando a persistência da ameaça. Para os utilizadores franceses do Acrobat Reader, a instrução é clara: atualizem imediatamente. As versões corrigidas são a 26.001.21411 para o Acrobat DC e a 24.001.30362 para o Acrobat 2024 no Windows.