Im Adobe Reader (und auch anderen Readern wie Foxit) gibt es eine 0-day-Schwachstelle. Ein öffnen eines PDF-Dokuments reicht zum Ausnutzen dieser Schwachstelle. Angreifer nutzen diese 0-day-Schwachstelle im Adobe Reader seit dem Dezember 2025 aus. Ein Sicherheitsforscher hat nun Alarm geschlagen.
Mir ist die Information bereits die Tage auf X in diversen Kanälen untergekommen. Die Kollegen von Bleeping Computer berichten hier über den Sachverhalt, Golem hat es hier aufgegriffen.
Sicherheitsforscher Haifei Li ist in seiner Sandbox-basierten Exploit-Erkennungsplattform EXPMON auf Probleme mit PDF-Readern, speziell Adobe, aber auch Foxit-Reader gestoßen. Haifei Li hat bereits am 7. April 2026 in diesem Tweet auf das Problem hingewiesen. Dort schrieb er, dass die Plattform EXPMON einen ausgeklügelten Zero-Day-Fingerprinting-Angriff entdeckt habe, der auf Nutzer des Adobe Reader abzielt.
Es sei ein wirklich interessanter (und ausgeklügelter) Exploit für das „Fingerprinting" im Adobe Reader-PDF, der eine 0-Day-Schwachstelle ausnutzt und den Start weiterer Exploits ermöglicht.
Details des Exploits
Der Blog-Beitrag vom 7. April 2026 enthält weitere Details. Nach der Analyse des Sicherheitsforschers fungiert die Malware-Probe als Initial-Exploit, der in der Lage ist, verschiedene Arten von Informationen zu sammeln und weiterzugeben. Es wird vermutet, dass dann möglicherweise weitere Exploits zur Remote-Codeausführung (RCE) und zum Ausbrechen aus der Sandbox (SBX) eingesetzt werden.
Der Exploit nutzt eine Zero-Day-Sicherheitslücke bzw. eine ungepatchte Schwachstelle im Adobe Reader aus, die es ermöglicht, privilegierte Acrobat-APIs auszuführen. Konkret ruft der Exploit die API util.readFileIntoStream() auf, wodurch beliebige Dateien (auf die der in einer Sandbox ausgeführte Reader-Prozess zugreifen kann) auf dem lokalen System lesen kann. Auf diese Weise kann eine Malware eine Vielzahl von Informationen vom lokalen System sammeln und lokale Dateidaten stehlen.
Die API RSS.addFeed() wird für zwei Zwecke aufgerufen: zum Senden der vom lokalen System gesammelten Informationen an einen Remote-Server und zum Empfangen von zusätzlichem JavaScript-Code, der ausgeführt werden soll. Haifei Li schreibt, dass bestätigt sei, dass der Exploit mit der neuesten Version des Adobe Reader funktioniert.
Auch Foxit-Reader wird angegriffen
Der Sicherheitsforscher hat dann einen zweiten Blog-Beitrag veröffentlicht, in dem er den FoxIt-Reader als angreifbar thematisiert. Ob es ein anderer Exploit ist, ist mir derzeit unklar.
Laut dem Threat-Intelligence-Analyst Gi7w0rm, der auch diesen Adobe-Reader-Exploit untersucht hat, stellte er fest, dass die bei diesen Angriffen versendeten PDF-Dokumente russischsprachige Köder enthalten, die sich auf aktuelle Ereignisse in der russischen Öl- und Gasindustrie beziehen. Es soll Ausnutzungen seit Dezember 2025 gegeben haben.
In allen Beispielen scheint JavaScript im Reader ein Einfalltor zu sein. Cyber Security News hat in diesem Artikel einige einige Maßnahmen (basierend auf den Hinweisen von Haifei Li) zusammen gefasst. Ich habe das Ganze mal modifiziert:
- Keine PDF-Dateien von unbekannten, nicht vertrauenswürdigen oder nicht verifizierten Quellen öffnen.
- PDF-Dokumente sicherheitshalber zur ersten Prüfung auf virustotal.com hochladen. Dann ggf. noch auf die Sandbox-basierte Exploit-Erkennungsplattform EXPMON hochladen und prüfen lassen.
- Netzwerkadministratoren sollten den ausgehenden Datenverkehr, der mit der IP-Adresse 169.40.2.68 auf Port 45191 kommuniziert, überwachen und blockieren.
- Sicherheitsbeauftragte sollten den HTTP- und HTTPS-Netzwerkverkehr sorgfältig auf verdächtige Aktivitäten überprüfen, bei denen die Zeichenfolge „Adobe Synchronizer" im User-Agent-Feld enthalten ist.
Problem bei obigem Ansatz ist, dass dies durch normale Nutzer kaum durchgeführt werden kann. Kommt eine PDF-Dokumentdatei von einem angeblichen Kunden, hat der Sachbearbeiter ein Problem. Zweite Klippe sehe ich darin, dass Browser PDF-Dokumente darstellen können – und schnell ist ein Link auf eine PDF-Dokumentdatei angewählt und das Dokument wird als PDF geöffnet. Beim Microsoft Edge dürfte inzwischen der Adobe Reader integriert sein.
MVP: 2013 – 2016
…soll bestimmt Dezember 2025 heißen…
"0-day-Schwachstelle in Adobe Reader seit Dez. 2026 ausgenutzt" … zurück in die Zukunft…
Zeitreisen kann Adobe (vergleiche Version VS Datum)
https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html
Adobe Acrobat 2024 Track Installers
24.001.30356 Planned update, Mar 10, 2025
24.001.3030x Planned update, Dec 09, 2025
24.001.30273 Optional update, Sep 19, 2025 (Mac Only)
24.001.30264 Planned update, Sep 9, 2025
24.001.30254 Planned update, Jun 10, 2025
24.001.30246 Planned update, Apr 08, 2025
24.001.30235 Planned update, Mar 11, 2025
24.001.30225 Planned update, Dec 10, 2024
"Angreifer nutzen diese 0-day-Schwachstelle im Adobe Reader seit dem Dezember 2026 aus." Also sind wir bis Ende des Jahres noch sicher?
Tippfehler ist korrigiert – aber ich war konsequent und hab in drei Stellen 2026 genommen ;-).
wer nicht auf alles ungeprüft klickt was da so reinflattert ist sowieso geschützt!
Ist ja kein Driveby… du musst dir das schon aktiv einfangen…
Gibt es eine Liste, welche PDF-Reader gefährdet sind, z.B. Firefox, Chrome etc?
Wenn ich das richtig kurz überflogen habe, sollte als Workaround Javascript im Reader deaktiviert werden?
Ich habe es so verstanden, dass Javascript-Code nachgeladen werden kann und befürchte, dass das Deaktivieren von JS nicht helfen wird. Schön wäre es allerdings.
Wie schön, dass Sumatra-PDF immer unter dem Radar fliegt! Einziger Nachteil: Ausdrucken dauert ewig.
Interessant. Ich dachte immer, dass das langsame (und gelegentlich auch fehlerhafte) Drucken von Sumatra-PDF nur ein "persönliches" Problem ist. Deshalb bin ich zu PDF24 gewechselt.
es wurden ja zwei IP Adressen gefunden, welche genutzt werden
169[.]40.2.68:45191
188[.]214.34.20:34123
In der Firewall am besten blocken – aber ist ja keine Garantie aber besser als nichts
https://justhaifei1.blogspot.com/2026/04/expmon-detected-sophisticated-zero-day-adobe-reader.html
immer wieder erschreckend, das sie dann ewig für ein patch brauchen und es eher aussitzen bis zu einem "patchday"
v.a. wenn die unterm Monat sonst immer 2-4 Updates raushauen … welche vermutlich nicht so dringend wären
Aus Sicherheitsgründen kann man fremde PDFs auch erstmal durch Ghostscript schicken und ohne JavaScript neu schreiben lassen:
Mit diesem Befehl erzeugt man ein neues PDF ohne Javascript aus dem Input-PDF, welches noch Javascript enthält:
gswin64 -dNOPAUSE -sDEVICE=pdfwrite -sOUTPUTFILE=PDF_ohne_Javascript-(Output).pdf PDF_mit_Javascript-(Input).pdf
Dann quit eintippen, um Ghostscript wieder zu verlassen. Erst beim Verlassen von Ghostscript wird das PDF geschrieben.
P.S.
Von SumatraPDF gab es am 06.April 2026 die neue Version 3.6.1.
SumatraPDF kann keine Scripte und ist deswegen sehr sicher.
PDF-Formulare ausfüllen kann man damit allerdings nicht.
Danke für den Tipp der Umwandlung mit Ghostscript, habe ich mir direkt für die Zukunft einmal notiert.
PDF ist mal mit der wunderbaren Idee ins Leben gerufen worden, ein einfaches, plattformübergreifendes Dateiformat zur Darstellung formatierter Dokumente bereit zu stellen.
Hätte man den Quatsch mit JavaScript doch einfach gelassen…hat meiner Ansicht nach in einem PDF nichts zu suchen.
Vielleicht auch noch interessant, anscheinend wurde die Webseite von CPU-Z und HW Monitor irgendwie übernommen da teilweise (?) ein versuchtes Setup verteilt wird:
https://www.reddit.com/r/de_EDV/comments/1sherep/psa_cpuz_und_hw_monitor_kompromittiert/