어도비는 12월 이후 제로데이 취약점으로 악용되었던 CVE-2026-34621를 해결하기 위한 Acrobat Reader용 긴급 보안 업데이트를 발표했다. 이번 결함으로 악성 PDF 파일이 샌드박스의 제한을 우회하고 권한이 높은 JavaScript API를 호출해 임의 코드 실행으로 이어질 수 있다. 공격에서 관찰된 익스플로잇은 임의의 파일을 읽고 훔치는 것을 가능하게 하며 악성 PDF를 여는 것 외에는 사용자의 추가 상호작용이 필요하지 않다. 구체적으로 익스플로잇은 util.readFileIntoStream() 같은 API를 악용해 로컬 파일을 읽고 RSS.addFeed()를 사용해 데이터를 유출하며 공격자가 제어하는 추가 코드를 불러온다.
보안 취약점은 EXPMON 익스플로잇 탐지 시스템의 창립자인 하이페이 리(Haifei Li)가 yummy_adobe_exploit_uwu.pdf라는 이름의 PDF 샘플을 분석하기 위해 제출받아 발견했다. 하이페이 리는 누군가가 3월 26일에 샘플을 EXPMON에 제출했으나 그보다 3일 전에 이미 VirusTotal에 전송됐고 당시 64개 보안 업체 중 단 5곳만이 이를 악성 파일로 판별했다고 밝혔다. 해당 연구원은 지난주 블로그를 통해 익스플로잇 탐지 시스템이 어도비 리더 전용으로 개발한 고급 탐지 기능인 심층 탐지(detection in depth)를 활성화한 뒤 수동 조사에 들어갔다고 말했다. 보안 연구원 Gi7w0rm은 석유 및 가스 산업을 미끼로 삼은 러시아어 문서를 활용한 실제 공격 사례를 포착해 어도비 리의 보고서를 접수했고 어도비는 주말 동안 보안 공지를 발표하며 CVE-2026-34621로 명명했다. 초기에는 네트워크 벡터로 매우 심각한 등급(9.6)으로 평가되었으나 이후 로컬 벡터로 변경하며 심각도를 8.6으로 하향 조정했다.
해당 업체는 Windows 및 macOS의 영향 제품을 밝혔다. Acrobat DC 버전 26.001.21367 및 이전 버전은 26.001.21411에서 수정되었고 Acrobat Reader DC 버전도 동일하게 수정되었다. Acrobat 2024 버전 24.001.30356 및 이전 버전은 Windows 24.001.30362, Mac 24.001.30360에서 수정되었다. Adobe는 사용자에게 도움말 > 업데이트 확인을 통해 업데이트를 적용하거나 공식 소프트웨어 포털에서 설치 프로그램을 다운로드하도록 권고한다. 이번 보안 공지에는 대체 조치나 완화 방안이 명시되어 있지 않으므로 보안 업데이트를 적용하는 것이 유일한 권장 조치다. 다만 사용자는 원치 않는 출처에서 전송된 PDF 파일에 주의하고 의심스러운 경우 샌드박스 환경에서 열어야 한다. 해당 어도비 제품을 사용하는 이들은 보안 업데이트를 적극적으로 적용하는 것이 매우 권장된다.
