Una vulnerabilità zero day nei software di lettura PDF più diffusi al mondo è stata finalmente corretta da Adobe, ma gli hacker la stavano già sfruttando da almeno quattro mesi. Il problema riguarda Acrobat DC, Reader DC e Acrobat 2024, tre applicazioni che praticamente chiunque lavori con documenti digitali ha installato sul proprio computer. E il fatto che la falla sia rimasta aperta così a lungo rende la questione particolarmente seria.
La vulnerabilità, tracciata ufficialmente come CVE-2026-34621, consente agli hacker di installare malware da remoto sul dispositivo di una vittima. Il meccanismo è tanto semplice quanto insidioso: basta convincere qualcuno ad aprire un file PDF appositamente costruito, sia su un dispositivo Windows che su un computer macOS. Un gesto quotidiano, banale, che milioni di persone compiono ogni giorno senza pensarci due volte. Ed è proprio questa normalità a rendere l’attacco così efficace.
Adobe ha confermato sul proprio sito di essere a conoscenza del fatto che il bug è stato sfruttato attivamente, il che lo classifica appunto come zero day. Significa che i criminali informatici hanno avuto un vantaggio temporale significativo: hanno potuto colpire prima ancora che esistesse una patch. Al momento non è chiaro quante persone siano state effettivamente colpite dalla campagna di hacking.
Chi c’è dietro e quanto è grave il rischio
Non si sa ancora chi stia orchestrando questa campagna, né quali siano gli obiettivi specifici. Quello che si sa, però, è che la diffusione capillare del software Adobe per la lettura dei PDF lo rende un bersaglio costante sia per cybercriminali comuni sia per hacker sostenuti da governi. Da anni, del resto, le debolezze di questi programmi vengono sfruttate sistematicamente per rubare dati dai computer delle vittime.
A scoprire la vulnerabilità è stato il ricercatore di sicurezza Haifei Li, che gestisce il sistema di rilevamento exploit chiamato EXPMON. Tutto è partito quando qualcuno ha caricato una copia di un PDF malevolo contenente l’exploit sul suo scanner di malware. Li ha poi ricostruito che un’altra copia dello stesso file era comparsa su VirusTotal, un noto servizio di analisi malware online, già verso la fine di novembre 2025.
Secondo l’analisi condotta da Li, aprire il PDF dannoso e attivare l’exploit potrebbe portare al controllo completo del sistema della vittima, dando all’attaccante la possibilità di sottrarre un’ampia gamma di dati. Non è stato possibile, però, ottenere ulteriori exploit dai server utilizzati dagli hacker, il che lascia ancora diversi punti interrogativi sulla reale portata dell’operazione.
L’aggiornamento da fare subito
Adobe ha confermato che le versioni coinvolte sono Acrobat DC, Reader DC e Acrobat 2024, e ha esortato tutti gli utenti ad aggiornare immediatamente i propri software alle versioni più recenti. Data la gravità della falla e il fatto che sia stata sfruttata attivamente per mesi, installare la patch il prima possibile è fondamentale per chiunque utilizzi questi programmi, sia in ambito professionale che personale. L’aggiornamento è disponibile attraverso i canali ufficiali di Adobe.
