Adobe Reader 零日漏洞遭利用数月，研究员发现线索

知名研究员Haifei Li发现一份疑似利用未修补Adobe Reader零日漏洞的PDF文件，正寻求网络安全社区协助调查这一复杂的PDF利用程序。

Haifei Li是资深安全研究员，过去二十年曾在Fortinet、微软、McAfee和Check Point任职，也是基于沙盒的零日漏洞检测系统Expmon的创始人兼开发者。

Expmon检测到这一新型Reader利用程序，分析显示该PDF“作为初始利用程序，具备收集和泄露各类信息的能力，可能随后执行远程代码执行（RCE）和沙箱逃逸（SBX）利用”。

研究员认为该PDF利用零日漏洞，因为攻击已确认对最新版Adobe Reader有效。

虽然Li确认已识别的利用程序会从受入侵系统收集用户及其他数据，但未能复现完整攻击链，获取可能用于沙箱逃逸或远程代码执行的额外载荷。

SecurityWeek已联系Adobe，但考虑到公司仅在4月7日左右收到利用详情，评估可能需要一定时间。

针对该潜在零日的利用程序已提交至Expmon和VirusTotal。VirusTotal上识别的一份样本于2025年11月提交，表明该漏洞至少已被利用4个月。

一位审查该利用程序的威胁情报分析师指出，恶意PDF包含俄语诱饵，并提及俄罗斯油气行业的时事。

Adobe近年来多次致谢Li报告Reader和Acrobat漏洞，包括关键代码执行缺陷。然而，对于2024年发现的Reader漏洞CVE-2024-41869，在Li报告发现明显试图武器化该漏洞的PDF后，Adobe未确认野外利用。