CVE-2026-34621 : zero-day critique Adobe Acrobat Reader

Les faits

Adobe a publié le 9 avril 2026 un correctif d'urgence pour la vulnérabilité CVE-2026-34621, une faille zero-day de type Prototype Pollution (CWE-1321) dans Adobe Acrobat Reader. Cette vulnérabilité, initialement évaluée à un score CVSS de 9.6, a été révisée à 8.6 après ajustement du vecteur d'attaque de réseau à local. Elle permet l'exécution de code arbitraire dans le contexte de l'utilisateur courant via un fichier PDF malveillant spécialement conçu.

La découverte est attribuée au chercheur en sécurité Haifei Li, fondateur du système de détection d'exploits EXPMON. L'exploitation active de cette faille remonte à décembre 2025, soit plus de quatre mois avant la publication du correctif. Les documents PDF malveillants observés contiennent des leurres en langue russe liés au secteur pétrolier et gazier, suggérant des opérations de cyberespionnage ciblées.

Le mécanisme d'attaque repose sur du JavaScript obfusqué qui s'exécute automatiquement à l'ouverture du PDF, sans interaction supplémentaire de l'utilisateur au-delà de la simple visualisation du fichier. Le script collecte des informations système (langue, version OS, version d'Adobe Reader, chemin local du fichier) et les exfiltre vers un serveur de commande et contrôle, selon l'advisory Adobe APSB26-26.

Impact et exposition

Toute organisation utilisant Adobe Acrobat Reader en version non corrigée est potentiellement exposée. La surface d'attaque est considérable : Adobe Reader est déployé sur des centaines de millions de postes dans le monde. L'exploitation ne nécessite aucun privilège particulier et se déclenche à la simple ouverture d'un fichier PDF, un vecteur d'attaque particulièrement efficace en environnement professionnel où les échanges de documents PDF sont quotidiens.

L'exploitation confirmée dans la nature depuis décembre 2025 indique que des campagnes d'attaque actives ciblent déjà des organisations. Le script malveillant est capable de télécharger et d'exécuter des charges utiles supplémentaires, incluant potentiellement des exploits d'évasion de sandbox, ce qui aggrave considérablement le risque de compromission complète du poste.

Recommandations immédiates

• Appliquer immédiatement la mise à jour : Acrobat DC vers 26.001.21411, Acrobat 2024 vers 24.001.30362 (Windows) ou 24.001.30360 (macOS) — advisory Adobe APSB26-26
• Désactiver l'exécution JavaScript dans Adobe Reader (Édition → Préférences → JavaScript → décocher « Activer Acrobat JavaScript ») comme mesure de mitigation temporaire
• Bloquer les pièces jointes PDF provenant de sources non vérifiées au niveau de la passerelle de messagerie
• Rechercher dans les logs réseau des connexions sortantes suspectes depuis des processus Adobe Reader
• Vérifier la présence de fichiers PDF récents contenant du JavaScript intégré sur les postes utilisateurs