Adobe vá lỗi zero-day nghiêm trọng trong Acrobat Reader đã bị khai thác nhiều tháng

Adobe vừa phát hành các bản vá khẩn cấp vào cuối tuần qua để khắc phục một lỗ hổng zero-day nghiêm trọng đang bị khai thác tích cực trên các phần mềm Acrobat và Reader. Lỗi bảo mật này đặc biệt nguy hiểm vì nó đã bị tin tặc sử dụng để tấn công người dùng trong nhiều tháng qua trước khi được phát hiện.

Logo Adobe

Chi tiết lỗ hổng CVE-2026-34621

Lỗ hổng này đã được định danh là CVE-2026-34621 và nhận được điểm số nghiêm trọng là 9.6 theo thang điểm CVSS. Theo Adobe, nguyên nhân của lỗi này xuất phát từ việc kiểm soát không đúng các thuộc tính prototype (prototype attributes). Kẻ tấn công có thể tận dụng sơ hở này để thực thi mã tùy ý (arbitrary code execution) trên máy tính của nạn nhân.

Lỗi bảo mật ảnh hưởng đến cả phiên bản Acrobat và Reader trên hệ điều hành Windows và macOS. Để bảo vệ hệ thống, người dùng cần cập nhật lên các phiên bản sau ngay lập tức:

• Acrobat DC và Acrobat Reader DC: Phiên bản 26.001.21411
• Acrobat 2024: Các phiên bản 24.001.30362 và 24.001.30360

Đã bị khai thác từ tháng 11 năm 2025

Adobe xác nhận rằng CVE-2026-34621 đã bị khai thác trong tự nhiên (in-the-wild). Nhà nghiên cứu bảo mật Haifei Li – người sáng lập hệ thống sandbox Expmon để phát hiện khai thác dựa trên tệp – là người đã phát hiện ra lỗ hổng này khi phân tích một file PDF độc hại được tải lên hệ thống của ông.

Hình ảnh minh họa bảo mật

Quá trình phân tích các mẫu khai thác được tải lên VirusTotal cho thấy các cuộc tấn công exploiting CVE-2026-34621 đã bắt đầu từ sớm nhất là vào tháng 11 năm 2025. Ban đầu, khai thác này được thiết kế để thu thập thông tin, nhưng sau đó các nhà nghiên cứu cảnh báo rằng chuỗi khai thác có thể bao gồm thực thi mã từ xa và thoát khỏi sandbox (sandbox escape).

Nhóm tin tặc APT đứng sau vụ việc

Haifei Li chỉ ra rằng một nhóm APT (Mối đe dọa tiên tiến và dai dẳng) có khả năng cao là chủ nhân của các cuộc tấn công này. Một chuyên gia phân tích tình báo mối đe dọa với nickname Gi7w0rm nhận định rằng các file PDF độc hại sử dụng ngôn ngữ Nga làm mồi nhử và tham chiếu đến các sự kiện hiện tại trong ngành dầu khí của Nga.

Hiện tại, cộng đồng an ninh mạng đang tiếp tục phân tích sâu hơn về các cuộc tấn công này. Li đã công bố các chi tiết kỹ thuật, trong khi những người khác đã đưa ra các chỉ số bị xâm phạm (IoCs) để giúp các chuyên gia bảo vệ phát hiện và ngăn chặn việc khai thác CVE-2026-34621.

Việc cập nhật phần mềm Adobe Acrobat và Reader lên phiên bản mới nhất là hành động cần thiết ngay lúc này để đảm bảo an toàn cho dữ liệu của người dùng.