Adobe Reader Sicherheitslücke 2026: Kritischer Zero-Day CVE-2026-34621 – sofort updaten!

Adobe hat ein Notfall-Sicherheitsupdate für Adobe Acrobat Reader veröffentlicht, das eine kritische Zero-Day-Schwachstelle schließt. Die Adobe Reader Sicherheitslücke 2026 mit der Kennung CVE-2026-34621 wurde bereits seit Dezember 2025 aktiv von Angreifern ausgenutzt – ohne dass ein Patch verfügbar war. Wenn du Adobe Reader verwendest, musst du jetzt sofort handeln.

Was steckt hinter CVE-2026-34621?

Die Schwachstelle wird als Prototype Pollution klassifiziert – ein Fehler bei der unkontrollierten Modifikation von Objekt-Prototyp-Attributen in JavaScript. Konkret bedeutet das: In JavaScript erben alle Objekte Eigenschaften vom zentralen Object.prototype. Wenn ein Angreifer diesen Prototypen manipulieren kann – etwa indem er speziell präparierte Eigenschaften wie __proto__ in verarbeiteten Daten injiziert – können plötzlich alle Objekte im Programm unerwartetes Verhalten zeigen. In einem PDF-Viewer, der JavaScript für interaktive Formulare und Inhalte nutzt, lässt sich das ausnutzen, um die Programmlogik zu übernehmen und beliebigen Schadcode auszuführen.

Adobe selbst hat bestätigt, CVE-2026-34621 als aktiv ausgenutzt einzustufen. Der CVSS-Score beträgt 8.6 von 10 – damit gilt sie als hochkritisch. Der Angriffsvector wurde im Adobe-Advisory vom 12. April 2026 von netzwerkbasiert (AV:N) auf lokal (AV:L) korrigiert.

Wie lange wurde die Adobe Reader Sicherheitslücke 2026 ausgenutzt?

Sicherheitsforscher Haifei Li (EXPMON) hat die Lücke entdeckt und gemeldet. Nach seinen Erkenntnissen gibt es Belege dafür, dass die Schwachstelle mindestens seit Dezember 2025 in freier Wildbahn aktiv ausgenutzt wird – das sind über drei Monate als ungefixter Zero-Day.

Drei Monate ohne Patch sind im Security-Kontext außergewöhnlich lang. Üblicherweise folgen auf eine CVE-Meldung innerhalb von 30–90 Tagen ein Patch (CVSS < 7) bzw. ein Notfall-Update (CVSS > 8). Im Fall CVE-2026-34621 hatte sich die Schwachstelle bereits zu einer etablierten Angriffsmethode in Phishing-Kampagnen entwickelt, bevor der Patch bereitstand. Das zeigt: Selbst schnelles Patchen kann zu spät sein – wer seit Dezember betroffen war, sollte sein System auf Kompromittierung prüfen.

Der Angriffsweg ist erschreckend simpel: Angreifer verschicken präparierte PDF-Dateien, die beim Öffnen in Adobe Reader automatisch verschleiertes JavaScript ausführen. Dieses sammelt sensible Daten und kann weitere Schadsoftware nachladen. Ein klassischer Social-Engineering-Angriff – die Opfer werden durch täuschend echte E-Mails oder Webseiten dazu gebracht, die Datei zu öffnen.

Betroffene Versionen und Plattformen

CVE-2026-34621 betrifft Adobe Acrobat Reader auf Windows und macOS. Linux-Nutzer sind nicht betroffen, da Adobe keine offizielle Linux-Version des Acrobat Readers mehr pflegt. Für Windows und macOS sind folgende Versionen anfällig:

• Continuous Track: Versionen älter als 24.005.20320
• Classic Track 2025: Versionen älter als 25.001.20432

Aktuelle Version prüfen: Hilfe → Über Adobe Acrobat Reader. Wenn du eine ältere Versionsnummer siehst, bist du verwundbar.

Sofortmaßnahme: So aktualisierst du Adobe Reader

Adobe hat das Update unter dem Bulletin APSB26-43 am 11. April 2026 veröffentlicht und die höchste Prioritätsstufe (Priority 1) vergeben. Das Update muss sofort eingespielt werden.

Update-Anleitung (Windows/macOS)

1. Öffne Adobe Acrobat Reader.
2. Gehe zu Hilfe → Nach Updates suchen.
3. Installiere das verfügbare Update und starte das Programm neu.
4. Alternativ: Lade die aktuelle Version direkt von der offiziellen Adobe-Webseite herunter.

Die gepatchte Version ist 24.005.20320 oder höher (Continuous Track) bzw. 25.001.20432 oder höher (Classic Track).

Hinweise für Unternehmensadministratoren

Wer Adobe Reader in einer Unternehmensumgebung verwaltet, sollte jetzt handeln. Das Update kann über mehrere Kanäle ausgerollt werden:

• Adobe Update Server (AUSST): Unternehmen, die Adobe-Updates über einen internen Server verteilen, müssen diesen aktualisieren und die neue Version freigeben.
• SCCM/Intune-Deployment: Lade das MSI-Paket vom Adobe Admin Console-Portal herunter und verteile es über dein Client-Management-System.
• Gruppenrichtlinien (GPO): Stelle sicher, dass die Richtlinie „Automatic Updates“ für Adobe Reader aktiviert ist, oder erzwinge das Update per Softwareverteilung. Temporär lohnt es sich außerdem, JavaScript in Adobe Reader über GPO zu deaktivieren: Software\Policies\Adobe\Adobe Acrobat\DC\FeatureLockDown\cJavaScript → bEnableJS = 0.
• Priorisierung: Adobe Priority-1-Updates sollten gemäß NIST SP 800-40 innerhalb von 24–48 Stunden in der gesamten Infrastruktur ausgerollt sein.

Alternativen zu Adobe Reader

Wenn dich diese Meldung dazu bewegt, Adobe Reader endlich hinter dir zu lassen – völlig verständlich. Hier sind bewährte Alternativen:

• Foxit PDF Reader – Feature-reich, schnell, mit schlankerer Angriffsfläche als Adobe. Kostenlose Version für den Privatgebrauch verfügbar.
• Sumatra PDF – Minimalistischer Open-Source-Reader für Windows. Verzichtet bewusst auf JavaScript-Support – JS-basierte Exploits wie CVE-2026-34621 sind damit strukturell ausgeschlossen.
• Browser-integrierte PDF-Viewer – Chrome, Firefox und Edge können PDFs nativ öffnen. Für einfache Dokumente reicht das vollkommen aus, ohne zusätzliche Software.
• Okular (Linux/KDE) – Umfangreich, gut gepflegt, empfohlen für Linux-Nutzer.

Weitere Schutzempfehlungen

• E-Mail-Anhänge skeptisch behandeln: Öffne keine PDF-Dateien aus unbekannten Quellen – auch wenn die Mail seriös wirkt.
• Antivirensoftware aktuell halten: Lösungen wie Bitdefender, Malwarebytes oder Windows Defender erkennen bekannte Angriffsmuster.
• JavaScript in Adobe Reader temporär deaktivieren: Bearbeiten → Voreinstellungen → JavaScript → „Acrobat JavaScript aktivieren“ deaktivieren.
• Automatische Updates aktivieren: Stelle sicher, dass Adobe Reader (und alle anderen Programme) automatisch aktualisiert werden.

Fazit: Jetzt updaten, nicht warten

Die Adobe Reader Sicherheitslücke CVE-2026-34621 ist ernst zu nehmen: Über drei Monate aktive Ausnutzung, ein CVSS-Score von 8.6 und ein Angriffsvektor, der nur das Öffnen einer PDF-Datei erfordert. Adobe hat mit Priority-1-Status reagiert – das zeigt, wie dringend die Lage ist.

Mein Rat: Aktualisiere Adobe Reader jetzt sofort. Oder wechsle gleich zu Sumatra PDF oder dem Browser-eingebetteten Viewer – die reichen für die meisten Anwendungsfälle völlig aus, mit deutlich kleinerem Angriffsprofil.

Quellen: The Hacker News, SecurityAffairs, BornCity, Adobe Security Bulletin APSB26-43