Im Adobe Reader (und auch anderen Readern wie Foxit) gibt es eine 0-day-Schwachstelle. Ein öffnen eines PDF-Dokuments reicht zum Ausnutzen dieser Schwachstelle. Angreifer nutzen diese 0-day-Schwachstelle im Adobe Reader seit dem Dezember 2025 aus. Ein Sicherheitsforscher hat nun Alarm geschlagen.
Mir ist die Information bereits die Tage auf X in diversen Kanälen untergekommen. Die Kollegen von Bleeping Computer berichten hier über den Sachverhalt, Golem hat es hier aufgegriffen.
Sicherheitsforscher Haifei Li ist in seiner Sandbox-basierten Exploit-Erkennungsplattform EXPMON auf Probleme mit PDF-Readern, speziell Adobe, aber auch Foxit-Reader gestoßen. Haifei Li hat bereits am 7. April 2026 in diesem Tweet auf das Problem hingewiesen. Dort schrieb er, dass die Plattform EXPMON einen ausgeklügelten Zero-Day-Fingerprinting-Angriff entdeckt habe, der auf Nutzer des Adobe Reader abzielt.
Es sei ein wirklich interessanter (und ausgeklügelter) Exploit für das „Fingerprinting" im Adobe Reader-PDF, der eine 0-Day-Schwachstelle ausnutzt und den Start weiterer Exploits ermöglicht.
Details des Exploits
Der Blog-Beitrag vom 7. April 2026 enthält weitere Details. Nach der Analyse des Sicherheitsforschers fungiert die Malware-Probe als Initial-Exploit, der in der Lage ist, verschiedene Arten von Informationen zu sammeln und weiterzugeben. Es wird vermutet, dass dann möglicherweise weitere Exploits zur Remote-Codeausführung (RCE) und zum Ausbrechen aus der Sandbox (SBX) eingesetzt werden.
Der Exploit nutzt eine Zero-Day-Sicherheitslücke bzw. eine ungepatchte Schwachstelle im Adobe Reader aus, die es ermöglicht, privilegierte Acrobat-APIs auszuführen. Konkret ruft der Exploit die API util.readFileIntoStream() auf, wodurch beliebige Dateien (auf die der in einer Sandbox ausgeführte Reader-Prozess zugreifen kann) auf dem lokalen System lesen kann. Auf diese Weise kann eine Malware eine Vielzahl von Informationen vom lokalen System sammeln und lokale Dateidaten stehlen.
Die API RSS.addFeed() wird für zwei Zwecke aufgerufen: zum Senden der vom lokalen System gesammelten Informationen an einen Remote-Server und zum Empfangen von zusätzlichem JavaScript-Code, der ausgeführt werden soll. Haifei Li schreibt, dass bestätigt sei, dass der Exploit mit der neuesten Version des Adobe Reader funktioniert.
Auch Foxit-Reader wird angegriffen
Der Sicherheitsforscher hat einen zweiten Blog-Beitrag veröffentlicht, in dem er den FoxIt-Reader als angreifbar thematisiert. Ob es ein anderer Exploit ist, ist mir derzeit unklar – der Beitrag ist aus 2024.
Laut dem Threat-Intelligence-Analyst Gi7w0rm, der auch diesen Adobe-Reader-Exploit untersucht hat, stellte er fest, dass die bei diesen Angriffen versendeten PDF-Dokumente russischsprachige Köder enthalten, die sich auf aktuelle Ereignisse in der russischen Öl- und Gasindustrie beziehen. Es soll Ausnutzungen seit Dezember 2025 gegeben haben.
In allen Beispielen scheint JavaScript im Reader ein Einfalltor zu sein. Cyber Security News hat in diesem Artikel einige einige Maßnahmen (basierend auf den Hinweisen von Haifei Li) zusammen gefasst. Ich habe das Ganze mal modifiziert:
- Keine PDF-Dateien von unbekannten, nicht vertrauenswürdigen oder nicht verifizierten Quellen öffnen.
- PDF-Dokumente sicherheitshalber zur ersten Prüfung auf virustotal.com hochladen. Dann ggf. noch auf die Sandbox-basierte Exploit-Erkennungsplattform EXPMON hochladen und prüfen lassen.
- Netzwerkadministratoren sollten den ausgehenden Datenverkehr, der mit der IP-Adresse 169.40.2.68 auf Port 45191 kommuniziert, überwachen und blockieren.
- Sicherheitsbeauftragte sollten den HTTP- und HTTPS-Netzwerkverkehr sorgfältig auf verdächtige Aktivitäten überprüfen, bei denen die Zeichenfolge „Adobe Synchronizer" im User-Agent-Feld enthalten ist.
Problem bei obigem Ansatz ist, dass dies durch normale Nutzer kaum durchgeführt werden kann. Kommt eine PDF-Dokumentdatei von einem angeblichen Kunden, hat der Sachbearbeiter ein Problem. Zweite Klippe sehe ich darin, dass Browser PDF-Dokumente darstellen können – und schnell ist ein Link auf eine PDF-Dokumentdatei angewählt und das Dokument wird als PDF geöffnet. Beim Microsoft Edge dürfte inzwischen der Adobe Reader integriert sein.
MVP: 2013 – 2016
…soll bestimmt Dezember 2025 heißen…
"0-day-Schwachstelle in Adobe Reader seit Dez. 2026 ausgenutzt" … zurück in die Zukunft…
Zeitreisen kann Adobe (vergleiche Version VS Datum)
https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html
Adobe Acrobat 2024 Track Installers
24.001.30356 Planned update, Mar 10, 2025
24.001.3030x Planned update, Dec 09, 2025
24.001.30273 Optional update, Sep 19, 2025 (Mac Only)
24.001.30264 Planned update, Sep 9, 2025
24.001.30254 Planned update, Jun 10, 2025
24.001.30246 Planned update, Apr 08, 2025
24.001.30235 Planned update, Mar 11, 2025
24.001.30225 Planned update, Dec 10, 2024
"Angreifer nutzen diese 0-day-Schwachstelle im Adobe Reader seit dem Dezember 2026 aus." Also sind wir bis Ende des Jahres noch sicher?
Tippfehler ist korrigiert – aber ich war konsequent und hab in drei Stellen 2026 genommen ;-).
wer nicht auf alles ungeprüft klickt was da so reinflattert ist sowieso geschützt!
Ist ja kein Driveby… du musst dir das schon aktiv einfangen…
Gibt es eine Liste, welche PDF-Reader gefährdet sind, z.B. Firefox, Chrome etc?
Dann musst du Windows Komplett Meiden denn auch, ohne Adobe Jemals Installiert gehabt zu haben ist die registrie voll mit Adobe Einträgen und die Verweisen auf zwei unbekannte dll Bibliotheken.
Aber alle anderen Viewer haben auch schon geupgedatet ich benutze eigentlich nur noch den Sumatra Viewer mit selbst erstellten pdf Dateien.
Wenn ich das richtig kurz überflogen habe, sollte als Workaround Javascript im Reader deaktiviert werden?
Ich habe es so verstanden, dass Javascript-Code nachgeladen werden kann und befürchte, dass das Deaktivieren von JS nicht helfen wird. Schön wäre es allerdings.
So wie ich das verstanden habe muss schon einmal Javascript im PDF ausgeführt werden, damit der Exploit überhaupt einmal angestoßen werden kann.
Javascript im Adobe Reader ist bei mir seit Jahren schon deaktiviert. Ich habe dies aber als Anlass genommen, das Ganze jetzt auch als Domainenrichtlinie umzusetzen.
Wie schön, dass Sumatra-PDF immer unter dem Radar fliegt! Einziger Nachteil: Ausdrucken dauert ewig.
Interessant. Ich dachte immer, dass das langsame (und gelegentlich auch fehlerhafte) Drucken von Sumatra-PDF nur ein "persönliches" Problem ist. Deshalb bin ich zu PDF24 gewechselt.
es wurden ja zwei IP Adressen gefunden, welche genutzt werden
169[.]40.2.68:45191
188[.]214.34.20:34123
In der Firewall am besten blocken – aber ist ja keine Garantie aber besser als nichts
https://justhaifei1.blogspot.com/2026/04/expmon-detected-sophisticated-zero-day-adobe-reader.html
Die IP Adresse „169.40.2.68:45191" kommt mir so bekannt vor, ist das nicht meine^^
immer wieder erschreckend, das sie dann ewig für ein patch brauchen und es eher aussitzen bis zu einem "patchday"
v.a. wenn die unterm Monat sonst immer 2-4 Updates raushauen … welche vermutlich nicht so dringend wären
Man weiss da nie, was ein echter Bug und was ein gewolltes Feature in Form einer Backdoor für wen auch immer ist.
Aus Sicherheitsgründen kann man fremde PDFs auch erstmal durch Ghostscript schicken und ohne JavaScript neu schreiben lassen:
Mit diesem Befehl erzeugt man ein neues PDF ohne Javascript aus dem Input-PDF, welches noch Javascript enthält:
gswin64 -dNOPAUSE -sDEVICE=pdfwrite -sOUTPUTFILE=PDF_ohne_Javascript-(Output).pdf PDF_mit_Javascript-(Input).pdf
Dann quit eintippen, um Ghostscript wieder zu verlassen. Erst beim Verlassen von Ghostscript wird das PDF geschrieben.
P.S.
Von SumatraPDF gab es am 06.April 2026 die neue Version 3.6.1.
SumatraPDF kann keine Scripte und ist deswegen sehr sicher.
PDF-Formulare ausfüllen kann man damit allerdings nicht.
die frage ist , wie wird denn die api funktion überhaupt getriggert? wird sie per javascript getriggert? ode rwird darüber nur später etwas nachgeladen.
Danke für den Tipp der Umwandlung mit Ghostscript, habe ich mir direkt für die Zukunft einmal notiert.
PDF ist mal mit der wunderbaren Idee ins Leben gerufen worden, ein einfaches, plattformübergreifendes Dateiformat zur Darstellung formatierter Dokumente bereit zu stellen.
Hätte man den Quatsch mit JavaScript doch einfach gelassen…hat meiner Ansicht nach in einem PDF nichts zu suchen.
Ja, alles wird bis zur Unbrauchbarkeit mit "Features" vermüllt nach denen niemand gefragt hat.
Ist der zweite erwähnte Blogeintrag zu Foxit-Reader korrekt verlinkt? Der verlinkte Artikel hat bei mir ein Datum von April 2024.
Vielleicht auch noch interessant, anscheinend wurde die Webseite von CPU-Z und HW Monitor irgendwie übernommen da teilweise (?) ein versuchtes Setup verteilt wird:
PSA: CPU-Z und HW Monitor kompromittiert
Ich sitze gerade dran … danke für die Erinnerung
Malware: Website, die CPUID, HWMonitor, CPU-Z etc. hostet, gehackt
Der Hinweis:
PDF-Dokumente sicherheitshalber zur ersten Prüfung auf virustotal.com hochladen. Dann ggf. noch auf die Sandbox-basierte Exploit-Erkennungsplattform EXPMON hochladen und prüfen lassen.
ist aus Datenschutzgründen auch mehr als kritisch. Wer garantiert das die Informationen aus den PDF nicht abgegriffen werden?
Gruß
Ja war auch mein erster Gedanke. Bitte nicht mit datensensiblen Dokumenten machen. Soweit ich mal gelesen habe, haben alle Anti Virenhersteller Zugriff auf die hochgeladenen Testdateien. Ob es wirklich stimmt, kann ich aber nicht wirklich sagen.
Damit hätte man sich dann aber endgültig aus dem Rennen geschossen! Ich bekomme eine PDF aus unbekannter Quelle und darf die nicht prüfen, weil sie datensensible Informationen enthält? Ich weiß zwar, auf was ihr heraus wollt – aber da wird gerade ein Oxymoron fabriziert. Wird noch lustig mit den vielen ZUGFeRD-Dateien und deren PDF-Teil.
Nein so meinte ich das gar nicht. Sondern ich bekomme von einem Kunden ein PDF, irgendetwas kommt mir sonderbar vor und daher teste ich es lieber mit VirusTotal.
Das sollte nicht vorkommen… zumindest nicht wenn da persönliche Daten drinnen stehen könnten.
Oder ich lade mir den Arztbefund runter – und weil ich paranoid bin ;-) checke ich es lieber mal vorher….
Im Gegensatz zu einem lokalen Virenscanner (der eventuell die Daten auch irgendwie nutzt) Aber bei VirusTotal werden sie gesammelt für Anti-Virenhersteller. Wer das dann alles ist.. weiß ich nicht genau
Adobe Reader gehört verboten, nichts hat so viele Fehler und Lücken wie der und das seit dem ersten Tag. PDF-Dokumente werden bei uns grundsätzlich in "nur Text" umgewandelt und gehen erst dann nach weiteren Prüfungen an die Client.
lauter bloated muellsoftware. niemand kann softwareentwicklung mehr. kaum noch jemand bzw niemand ist empathisch genug und fuehlt sich verantwortlich oder handelt gar verantwortungsvoll
absolute minimalisten fahren am sichersten.
Für den Acrobat und Acrobat Reader hat Adobe ein neues Update bereitgestellt.
Aktuelle Version:
2026.001.21411
Release Notes liegen noch nicht vor.
Siehe auch:
https://www.deskmodder.de/blog/2026/04/10/adobe-acrobat-reader-dc-2026-001-21411-erschienen/
Wozu braucht man den Reader überhaupt noch?
Büschn OT zum Thema, aber nett ist auch dieser Beitrag:
https://www.mactechnews.de/news/article/Verhalten-wie-Malware-Anbieter-Adobe-aendert-wichtige-Systemdatei-189192.html
Gruß