Adobe Acrobat Reader Zero-Day: CVE-2026-34621 wird aktiv ausgenutzt — Notfall-Patch verfügbar

Adobe hat ein Notfall-Update für Acrobat Reader veröffentlicht. Die Schwachstelle CVE-2026-34621 wird bereits aktiv ausgenutzt — und das offenbar seit Ende letzten Jahres. Der CVSS-Score von 8.6 klingt nach „hoch, aber nicht kritisch“. Lassen Sie sich davon nicht täuschen: Acrobat Reader steht auf praktisch jedem Desktop, und Nutzer öffnen PDF-Dateien ohne nachzudenken. Genau darauf setzen die Angreifer.

Was CVE-2026-34621 ist

Die Schwachstelle ist eine Prototype Pollution — eine Klasse von Schwachstellen, bei der Angreifer die Prototyp-Kette von JavaScript-Objekten manipulieren können. Im Fall von Acrobat Reader ermöglicht das die Ausführung beliebigen Codes (Arbitrary Code Execution). Konkret: Ein speziell präpariertes PDF kann die Sandbox-Restriktionen von Acrobat Reader umgehen und privilegierte JavaScript-APIs aufrufen, die normalerweise nicht zugänglich sein sollten.

Der Sicherheitsforscher Haifei Li, Gründer von EXPMON (einem auf Exploit-Erkennung spezialisierten Dienst), entdeckte die Schwachstelle nach Analyse eines schadhaften PDF-Samples. Li veröffentlichte Details in einem Blogpost, nachdem Adobe den Patch bereitgestellt hatte.

Das Besondere an diesem Angriffsvektor: Die Exploit-Technik umgeht gezielt die Sandbox von Acrobat Reader. Das ist die Schutzschicht, die verhindern soll, dass JavaScript-Code in PDFs auf Systemressourcen außerhalb des Readers zugreifen kann. Wenn diese Schicht fällt, ist der Weg vom geöffneten PDF zur vollständigen Systemkompromittierung kurz.

Warum das ein Notfall-Patch ist

Adobe behandelt CVE-2026-34621 als Emergency Fix — außerhalb des regulären Patch-Zyklus. Das passiert nicht oft und ist ein klares Signal: Die Schwachstelle wird aktiv ausgenutzt, die Angriffe sind real, und das Zeitfenster für Verteidiger ist knapp.

Die Exploitation läuft seit Ende 2025 — also seit Monaten, bevor ein Patch verfügbar war. Die Angreifer hatten reichlich Zeit, die Technik zu verfeinern und in laufende Kampagnen zu integrieren. Der übliche Ablauf: Ein PDF wird per E-Mail als Anhang zugestellt, der Empfänger öffnet es in Acrobat Reader, die Schwachstelle wird ausgenutzt, Schadcode wird ausgeführt. Kein Klick auf einen Link, kein zusätzlicher Download — das Öffnen der Datei reicht.

Betroffene Versionen und Patches

Adobe stellt Updates für alle aktuell unterstützten Produktlinien bereit:

Acrobat DC und Acrobat Reader DC: Update auf Version 26.001.21411 oder höher (Windows und macOS).

Acrobat 2024 (Classic): Update auf Version 24.001.30362 (Windows) bzw. 24.001.30360 (macOS) oder höher.

Wer ältere, nicht mehr unterstützte Versionen einsetzt, erhält keinen Patch. In diesem Fall gibt es nur eine Option: auf eine aktuelle, unterstützte Version wechseln.

Sofortmaßnahmen

Alle Acrobat-Installationen sofort aktualisieren. Nicht nächste Woche, nicht beim nächsten Wartungsfenster. Adobe behandelt das als Notfall — Sie sollten es genauso halten. In verwalteten Umgebungen: Patch über SCCM, Intune oder vergleichbare Tools priorisiert ausrollen.

Nicht unterstützte Versionen identifizieren und migrieren. Jede Acrobat-Installation, die nicht auf einer aktuellen Versionslinie läuft, ist anfällig und wird es bleiben. Eine Bestandsaufnahme über Asset-Management oder Software-Inventarisierung ist der erste Schritt.

E-Mail-Anhänge verschärft filtern. PDF-Dateien aus unbekannten oder unerwarteten Quellen sollten in Sandbox-Umgebungen geöffnet oder von E-Mail-Security-Lösungen geprüft werden, bevor sie den Endpunkt erreichen.

Endpoint Detection prüfen. Stellen Sie sicher, dass Ihre EDR-Lösung Exploit-Versuche über Acrobat Reader erkennt. Die Schwachstelle nutzt JavaScript-Ausführung innerhalb des Readers — verhaltensbasierte Erkennung von unerwarteten Child-Prozessen des Readers (cmd.exe, powershell.exe, wscript.exe) ist ein wirksamer Indikator.

JavaScript in Acrobat Reader deaktivieren, wo möglich. In vielen Unternehmensumgebungen wird JavaScript in PDFs nicht benötigt. Die Deaktivierung über Gruppenrichtlinien oder das Acrobat Customization Wizard Tool eliminiert diesen Angriffsvektor vollständig — allerdings können interaktive Formulare dann nicht mehr genutzt werden.

Einordnung

Acrobat Reader ist eine der am weitesten verbreiteten Desktop-Anwendungen der Welt. Nutzer sind darauf konditioniert, PDF-Dateien zu öffnen — als E-Mail-Anhänge, aus Downloads, aus Cloud-Speichern. Genau diese Selbstverständlichkeit macht die Anwendung zum perfekten Angriffsziel.

CVE-2026-34621 ist die Art von Schwachstelle, bei der der CVSS-Score die tatsächliche Gefährdung nicht vollständig abbildet. 8.6 ist technisch „hoch“. Aber in der Praxis — universelle Verbreitung, Nutzer öffnen PDFs reflexartig, die Schwachstelle wird seit Monaten aktiv ausgenutzt, der Exploit umgeht die Sandbox — ist das funktional kritisch. Patchen Sie heute.