PDF öffnen reicht: Zero-Day-Lücke in Adobe Reader wird seit Monaten ausgenutzt

In dem weitverbreiteten PDF-Anzeigetool Adobe Reader klafft offenbar eine schon mindestens seit November 2025 ausgenutzte aber bisher noch ungepatchte Sicherheitslücke. Davor warnt Bleeping Computer(öffnet im neuen Fenster) unter Verweis auf einen Sicherheitsforscher namens Haifei Li, der in der Vergangenheit schon viele gefährliche Lücken in Softwareprodukten aufgedeckt hat , darunter auch solche von Microsoft .

Li veröffentlichte unter anderem auf X(öffnet im neuen Fenster) und Linkedin(öffnet im neuen Fenster) Beiträge, in denen er auf seine Entdeckung hinweist. Es handelt sich um ein erstmals am 28. November 2025 auf Virustotal hochgeladenes(öffnet im neuen Fenster) und mit Schadcode verseuchtes PDF-Dokument, das bisher lediglich von 10 von 64 Sicherheitstools als Bedrohung erkannt wird.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Digital Omnibus: Europas schleichender Abschied vom Datenschutz

zum Ratgeber

Seminar: Penetration Testing Fundamentals: virtueller Zwei-Tage-Workshop

zum Kurs

E-Learning: Netzwerkanalyse mit Wireshark - gezielt Netzwerkdaten analysieren (E-Learning)

zum Kurs

Das Dokument enthält laut Li einen ausgeklügelten Fingerprinting-Exploit, der eine Zero-Day-Lücke im Adobe Reader ausnutzt. Damit soll es potenziell möglich sein, weitere Exploits zur Ausführung zu bringen, um weiteren Schadcode einzuschleusen, aus der Sandbox der Adobe-Software auszubrechen oder Daten auszuleiten. Attackierte Nutzer müssen dafür lediglich die PDF-Datei öffnen.

Bisher kein Patch verfügbar

Wie Li in einem Blogbeitrag(öffnet im neuen Fenster) schildert, wurde der Exploit am 26. März auf Expmon entdeckt, einer von dem Forscher bereitgestellten Sandbox-Plattform zur Analyse und Erkennung möglicher Exploits. Den Angaben zufolge nutzt der Zero-Day-Exploit die Adobe-API util.readFileIntoStream(), um "eine Vielzahl von Informationen vom lokalen System zu sammeln und lokale Daten zu stehlen" .

Zudem missbrauche der Exploit die Funktion RSS.addFeed(), um die eingesammelten Daten auszuleiten und weiteren Javascript-Code vom System des Angreifers nachzuladen, schreibt Li weiter. Dies ermögliche nicht nur ein erweitertes Fingerprinting des Zielsystems, sondern auch die Planung und Ausführung weiterführender Angriffe.

Der Exploit funktioniert laut Li auch mit der neuesten Adobe-Reader-Version. Adobe soll bereits über die Zero-Day-Lücke informiert worden sein. Bis ein Fix zur Verfügung steht, dürften aber noch ein paar Tage vergehen. Bis dahin sollten Anwender besonders vorsichtig sein und keine PDF-Dokumente aus nicht vertrauenswürdigen Quellen öffnen.

• Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.