Adobe Acrobat CVE-2026-34621
Adobe는 2026-04-12에 Acrobat Reader와 Acrobat용 보안 업데이트를 배포했다. 공개 보도는 이 취약점을 PDF 처리 경로의 메모리 오염 문제로 설명했다. 보도에서 확인되는 수정판은 Acrobat DC / Reader DC 26.001.21411, Acrobat 2024 Windows 24.001.30362, macOS 24.001...
요약
Adobe는 2026-04-12에 Acrobat Reader와 Acrobat용 보안 업데이트를 배포했다. 공개 보도는 이 취약점을 PDF 처리 경로의 메모리 오염 문제로 설명했다. 보도에서 확인되는 수정판은 Acrobat DC / Reader DC 26.001.21411, Acrobat 2024 Windows 24.001.30362, macOS 24.001.30360이다. 추가 정확한 날짜는 공개 자료에서 확인되지 않았다.
Note
보도에 나온 버전 값만 기준으로 잡고, 단말 인벤토리와 설치 로그로 실제 적용 여부를 확인한다.
핵심 정보
| 항목 | 내용 |
|---|---|
| 공개일 | 2026-04-12 |
| 대상 제품 | Adobe Acrobat Reader, Adobe Acrobat |
| 취약점 성격 | PDF 처리 경로의 메모리 오염 문제 |
| 영향 | 코드 실행 가능성이 보도됨 |
| 보도상 수정 버전 | Acrobat DC / Reader DC 26.001.21411, Acrobat 2024 Windows 24.001.30362, macOS 24.001.30360 |
탐지 포인트
이 건은 서버보다 단말에서 먼저 본다. PDF 열람 시점과 프로세스 체인을 같이 묶는다.
네트워크
- 메일, 웹 다운로드, 협업 도구에서 유입된 PDF의 수신 시점과 열람 시점을 맞춘다.
- 같은 세션에서 PDF 열람 직후 DNS, 프록시, 메일 게이트웨이 로그에 외부 연결이 생기는지 본다.
- 열람 직후 짧은 간격의 반복 연결이 있는지 본다.
엔드포인트
Acrobat.exe또는AcroRd32.exe뒤에cmd.exe,powershell.exe,wscript.exe,rundll32.exe,mshta.exe가 붙는지 본다.- 사용자 프로필의 임시 경로에 새 실행 파일이나 스크립트가 생기는지 본다.
- Run key, Scheduled Task, Startup 폴더 변경을 같은 시간대의 PDF 열람 이력과 대조한다.
- 설치 버전은 인벤토리로 먼저 잡는다.
Get-ItemProperty `
"HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*", `
"HKLM:\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\*" `
-ErrorAction SilentlyContinue |
Where-Object { $_.DisplayName -match "Adobe Acrobat|Adobe Reader" } |
Select-Object DisplayName, DisplayVersion, Publisher |
Sort-Object DisplayName
대응
| 항목 | 조치 |
|---|---|
| 인벤토리 | Acrobat Reader / Acrobat 설치 버전을 수집한다. |
| 패치 | 보도된 수정 버전과 비교해 미적용 단말을 분리한다. |
| 포렌식 | 최근 외부 유입 PDF를 보존하고 해시를 남긴다. |
| 헌팅 | Acrobat 부모-자식 프로세스 체인을 EDR에서 찾는다. |
| 통제 | 메일과 웹 보안 장비의 차단, 격리, 샌드박스 정책을 다시 본다. |