![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Im Adobe Reader (und auch anderen Readern wie Foxit) gibt es eine 0-day-Schwachstelle. Ein \u00f6ffnen eines PDF-Dokuments reicht zum Ausnutzen dieser Schwachstelle. Angreifer nutzen diese 0-day-Schwachstelle im Adobe Reader seit dem Dezember 2025 aus. Ein Sicherheitsforscher hat nun Alarm geschlagen.<\/p>\n
<\/p>\n
Sicherheitsforscher Haifei Li ist in seiner Sandbox-basierten Exploit-Erkennungsplattform EXPMON<\/a> auf Probleme mit PDF-Readern, speziell Adobe, aber auch Foxit-Reader gesto\u00dfen.\u00a0Haifei Li hat bereits am 7. April 2026 in diesem Tweet<\/a> auf das Problem hingewiesen. Dort schrieb er, dass die Plattform EXPMON einen ausgekl\u00fcgelten Zero-Day-Fingerprinting-Angriff entdeckt habe, der auf Nutzer des Adobe Reader abzielt.<\/p>\n Es sei ein wirklich interessanter (und ausgekl\u00fcgelter) Exploit f\u00fcr das \u201eFingerprinting\" im Adobe Reader-PDF, der eine 0-Day-Schwachstelle ausnutzt und den Start weiterer Exploits erm\u00f6glicht.<\/p>\n Der Blog-Beitrag<\/a> vom 7. April 2026 enth\u00e4lt weitere Details.\u00a0Nach der Analyse des Sicherheitsforschers fungiert die Malware-Probe als Initial-Exploit, der in der Lage ist, verschiedene Arten von Informationen zu sammeln und weiterzugeben. Es wird vermutet, dass dann m\u00f6glicherweise weitere Exploits zur Remote-Codeausf\u00fchrung (RCE) und zum Ausbrechen aus der Sandbox (SBX) eingesetzt werden.<\/p>\n Der Exploit nutzt eine Zero-Day-Sicherheitsl\u00fccke bzw. eine ungepatchte Schwachstelle im Adobe Reader aus, die es erm\u00f6glicht, privilegierte Acrobat-APIs auszuf\u00fchren.\u00a0Konkret ruft\u00a0 der Exploit die API util.readFileIntoStream()<\/em> auf, wodurch beliebige Dateien (auf die der in einer Sandbox ausgef\u00fchrte Reader-Prozess zugreifen kann) auf dem lokalen System lesen kann. Auf diese Weise kann eine Malware eine Vielzahl von Informationen vom lokalen System sammeln und lokale Dateidaten stehlen.<\/p>\n Die API RSS.addFeed()<\/em> wird f\u00fcr zwei Zwecke aufgerufen: zum Senden der vom lokalen System gesammelten Informationen an einen Remote-Server und zum Empfangen von zus\u00e4tzlichem JavaScript-Code, der ausgef\u00fchrt werden soll. Haifei Li schreibt, dass best\u00e4tigt sei, dass der Exploit mit der neuesten Version des Adobe Reader funktioniert.<\/p>\n Der Sicherheitsforscher hat dann einen zweiten Blog-Beitrag<\/a> ver\u00f6ffentlicht, in dem er den FoxIt-Reader als angreifbar thematisiert. Ob es ein anderer Exploit ist, ist mir derzeit unklar.<\/p>\n Laut dem Threat-Intelligence-Analyst Gi7w0rm, der auch diesen Adobe-Reader-Exploit untersucht hat, stellte er fest<\/a>, dass die bei diesen Angriffen versendeten PDF-Dokumente russischsprachige K\u00f6der enthalten, die sich auf aktuelle Ereignisse in der russischen \u00d6l- und Gasindustrie beziehen. Es soll Ausnutzungen seit Dezember 2025 gegeben haben.<\/p>\n In allen Beispielen scheint JavaScript im Reader ein Einfalltor zu sein. Cyber Security News hat in diesem Artikel<\/a> einige einige Ma\u00dfnahmen (basierend auf den Hinweisen von Haifei Li) zusammen gefasst. Ich habe das Ganze mal modifiziert:<\/p>\n Problem bei obigem Ansatz ist, dass dies durch normale Nutzer kaum durchgef\u00fchrt werden kann. Kommt eine PDF-Dokumentdatei von einem angeblichen Kunden, hat der Sachbearbeiter ein Problem. Zweite Klippe sehe ich darin, dass Browser PDF-Dokumente darstellen k\u00f6nnen – und schnell ist ein Link auf eine PDF-Dokumentdatei angew\u00e4hlt und das Dokument wird als PDF ge\u00f6ffnet. Beim Microsoft Edge d\u00fcrfte inzwischen der Adobe Reader integriert sein.<\/p>\n <\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Im Adobe Reader (und auch anderen Readern wie Foxit) gibt es eine 0-day-Schwachstelle. Ein \u00f6ffnen eines PDF-Dokuments reicht zum Ausnutzen dieser Schwachstelle. Angreifer nutzen diese 0-day-Schwachstelle im Adobe Reader seit dem Dezember 2025 aus. Ein Sicherheitsforscher hat nun Alarm geschlagen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7459,301],"tags":[1151,4328,3836],"class_list":["post-323518","post","type-post","status-publish","format-standard","hentry","category-software","category-windows","tag-adobe","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323518","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=323518"}],"version-history":[{"count":10,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323518\/revisions"}],"predecessor-version":[{"id":323537,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/323518\/revisions\/323537"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=323518"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=323518"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=323518"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Mir ist die Information bereits die Tage auf X in diversen Kan\u00e4len untergekommen. Die Kollegen von Bleeping Computer berichten hier<\/a> \u00fcber den Sachverhalt, Golem hat es hier<\/a> aufgegriffen.<\/p>\n
![\"Adobe](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/AdobeReader0day.jpg\")
<\/p>\nDetails des Exploits<\/h2>\n
Auch Foxit-Reader wird angegriffen<\/h2>\n
\n