Aggiornamento critico per Adobe Reader: la vulnerabilità risolta è gravissima (e già sfruttata)
- a cura di: massimo.valenti
- Commenti:
- Letture:
- Aggiornato: 13/04/2026, 08:40
- Pubblicato: 13/04/2026, 09:17
Autore umano, supporto AI
Gli articoli di TurboLab.it sono curati dagli utenti della nostra community, ma possono essere generati o migliorati tramite intelligenza artificiale.
Stai leggendo un articolo su Microsoft Windows
Per tutti gli articoli e le guide che riguardano il più popolare sistema operativo per PC, sfoglia il "Canale Windows".
Basta aprire un PDF. Non serve cliccare su un link sospetto, non serve abilitare macro, non serve confermare alcun dialogo. Un file con un nome innocuo come fattura.pdf è sufficiente a compromettere il sistema. È questo lo scenario concreto dietro CVE-2026-34621, una vulnerabilità in Adobe Acrobat Reader che Adobe ha confermato essere attivamente sfruttata e per cui ha rilasciato un aggiornamento d'emergenza.
Che cosa succede quando si apre quel PDF
La vulnerabilità è classificata come prototype pollution, una falla di sicurezza JavaScript che consente a un attaccante di manipolare gli oggetti e le proprietà interni dell'applicazione. In termini pratici: un PDF malevolo contiene codice JavaScript offuscato che viene eseguito automaticamente nel momento in cui si apre il documento in Acrobat Reader. Nessuna interazione aggiuntiva da parte dell'utente.
L'exploit abusa dell'API util.readFileIntoStream() per leggere file arbitrari accessibili al processo di Reader, anche all'interno della sandbox. Le informazioni raccolte vengono poi inviate a un server remoto, attualmente in ascolto sulla porta 45191, dal quale l'exploit riceve ulteriore codice JavaScript da eseguire.
La fase iniziale è di raccolta informazioni, ma i ricercatori la considerano il primo stadio di una catena d'attacco più ampia. EXPMON, la piattaforma di rilevamento exploit che ha scoperto la falla, ha dichiarato: «Sembra che Adobe abbia determinato che il bug possa portare all'esecuzione arbitraria di codice - non solo a una fuga di informazioni. Questo è coerente con le nostre scoperte e con quelle di altri ricercatori nelle ultime giornate.» La catena completa - esecuzione di codice remoto ed evasione dalla sandbox - non è stata riprodotta interamente, probabilmente perché il server di comando e controllo non ha risposto durante i test: forse gli attaccanti selezionano con cura gli ambienti bersaglio.
Sfruttata da mesi prima della correzione
La cronologia è la parte più scomoda della vicenda. Il primo campione malevolo è stato caricato su VirusTotal il 28 novembre 2025. Un secondo campione è apparso il 23 marzo 2026. Lo sfruttamento attivo risale quindi almeno a dicembre 2025, con indizi che suggeriscono un inizio già a novembre. Per mesi, chi ha aperto il PDF sbagliato non ha avuto alcuna protezione.
I documenti analizzati contengono esche in lingua russa con riferimenti a eventi correnti nell'industria petrolifera e del gas. L'identità degli attaccanti non è stata confermata.
I prodotti coinvolti e le versioni corrette
La vulnerabilità colpisce sia Windows che macOS:
- Acrobat DC e Acrobat Reader DC (Windows e macOS): vulnerabili fino alla versione 26.001.21367, corrette nella 26.001.21411.
- Acrobat 2024 (Windows): vulnerabile fino alla 24.001.30356, corretta nella 24.001.30362.
- Acrobat 2024 (macOS): vulnerabile fino alla 24.001.30356, corretta nella 24.001.30360.
Il punteggio CVSS ha subito una revisione. Inizialmente valutato 9.6 su 10, Adobe ha modificato il vettore d'attacco nella revisione dell'avviso del 12 aprile, portando il punteggio a 8.6 su 10. La differenza riguarda il vettore, non la gravità dell'impatto una volta che il file viene aperto - e questo cambia poco per chi riceve una fattura via email.
Aggiornare subito, senza indugi
L'aggiornamento è disponibile attraverso il meccanismo di aggiornamento automatico di Acrobat Reader e Acrobat, oppure scaricando manualmente le versioni corrette.
Dato che l'exploit richiede solo l'apertura di un documento - un gesto che milioni di utenti domestici e di piccoli uffici compiono quotidianamente senza pensarci - la finestra di esposizione è concreta. Alcuni analisti raccomandano di installare la correzione entro 72 ore.
Cinque mesi di sfruttamento indisturbato prima che arrivasse una patch: chiunque utilizzi Acrobat Reader - e parliamo di una base di utenti sterminata tra ambienti domestici e SOHO - dovrebbe verificare immediatamente la versione installata. Il rischio non è teorico: è documentato, attivo e richiede zero competenze tecniche da parte della vittima. Solo un doppio clic sul file sbagliato.
Fonti: thehackernews.com, borncity.com, news.fyself.com
