الفاتورة التي لم تكن فاتورة
في 28 نوفمبر 2025، ظهر ملف باسم “Invoice540.pdf” على VirusTotal. بدا كفاتورة روتينية تشير إلى صناعة النفط والغاز الروسية. فتحه في Adobe Acrobat Reader أطلق بصمت JavaScript مشفراً حصد بيانات النظام وسرق بيانات الاعتماد وحمّل حمولات إضافية من خادم قيادة وتحكم.
الثغرة CVE-2026-34621 بقيت بدون تصحيح لأكثر من أربعة أشهر. أصدرت Adobe تصحيحاً طارئاً في 11 أبريل 2026.
كيف تحول تلويث النموذج الأولي إلى تنفيذ أوامر عن بعد
CVE-2026-34621 مصنفة كتعديل غير محكم لسمات النموذج الأولي للكائن، المعروف بـ تلويث النموذج الأولي (CWE-1321). تستغل الثغرة خاصية أساسية في JavaScript: الكائنات ترث خصائص من سلسلة نماذج أولية مشتركة. بتلويث `Object.prototype` الأساسي، يمكن للمهاجم حقن خصائص خبيثة تنتشر لكل كائن JavaScript في التطبيق.
في محرك JavaScript الخاص بـ Adobe Reader، يتصاعد هذا التلويث من خطأ منطقي إلى تنفيذ أوامر عن بعد كامل. يستغل الهجوم واجهات Acrobat المتميزة — تحديداً `util.readFileIntoStream` و`RSS.addFeed` — التي يفترض أن تكون في sandbox لكنها قابلة للوصول عبر النموذج الأولي الملوث.
لا ماكرو. لا تحذيرات. لا زر “تمكين المحتوى”. يفتح الضحية PDF ويُخترق النظام.
إعلان
أربعة أشهر في الظلام
الجدول الزمني هو الجانب الأكثر ضرراً. أول عينة استغلال معروفة تعود إلى 28 نوفمبر 2025. لم تعترف Adobe بالثغرة حتى أبريل 2026. هذا يعني أن كل تثبيت لـ Adobe Reader — مئات الملايين من الأنظمة — كان عرضة بصمت لأربعة أشهر على الأقل.
الباحث الأمني Haifei Li كشف عن الثغرة واستغلالها النشط. احتوت ملفات PDF الخبيثة على محتوى بالروسية يشير إلى أحداث جارية في قطاع النفط والغاز.
التصحيح ومتطلباته
تصحيح Adobe هو الإصدار 26.001.21411. نشرة الأمان أعطت تصنيف أولوية-1، بمعنى توصية Adobe بالتثبيت خلال 72 ساعة.
لماذا يبقى PDF ناقل الهجوم المثالي
ثغرات PDF تتكرر بانتظام مقلق لأن PDF يتمتع بموقع فريد كسطح هجوم. هو موثوق عالمياً — “إنه مجرد PDF” هي العبارة الأكثر شيوعاً قبل الاختراق. CVE-2026-34621 تعزز مبدأً: عطّل JavaScript في قارئات PDF ما لم يكن هناك حاجة عمل محددة. في Adobe Reader: تحرير > تفضيلات > JavaScript > ألغِ تحديد “تمكين Acrobat JavaScript”.
الأسئلة الشائعة
ما هي CVE-2026-34621 وما مدى خطورتها؟
CVE-2026-34621 هي ثغرة حرجة في تلويث النموذج الأولي في Adobe Acrobat Reader بتقييم CVSS يبلغ 9.6. تسمح للمهاجمين بتنفيذ أوامر عشوائية على أنظمة Windows وmacOS بمجرد خداع المستخدم لفتح PDF خبيث. لا يُتطلب أي تفاعل إضافي. استُغلت الثغرة لأربعة أشهر على الأقل قبل تصحيح 11 أبريل 2026.
كيف أحمي أنظمتي من هذا الاستغلال؟
حدّث Adobe Acrobat Reader إلى الإصدار 26.001.21411 فوراً. كإجراء دفاع متعمق، عطّل JavaScript: تحرير > تفضيلات > JavaScript > ألغِ تحديد “تمكين Acrobat JavaScript”. أيضاً اضبط فلاتر البريد لعزل مرفقات PDF من مرسلين مجهولين.
من كان مستهدفاً بحملة zero-day هذه؟
استخدمت الحملة الأولية ملفات PDF بالروسية تشير لقطاع النفط والغاز، مما يقترح عمليات مستهدفة ضد منظمات الطاقة. لكن بمجرد أن تصبح تقنية zero-day علنية، تكيّفها المجموعات الإجرامية بسرعة للاستغلال الواسع.
المصادر والقراءات الإضافية
- Adobe Patches Actively Exploited Acrobat Reader Flaw — The Hacker News
- Adobe Reader Zero-Day Exploited via Malicious PDFs — The Hacker News
- Hackers Exploiting Acrobat Reader Zero-Day Since December — BleepingComputer
- Old Adobe Reader Zero-Day Uses PDFs — The Register
- Adobe Reader Zero-Day Exploited for Months — SecurityWeek
- Adobe Security Bulletin APSB26-26 — Adobe
