Adobe a publié de nouvelles mises à jour de sécurité pour patcher une faille zero-day dans Adobe Acrobat et Acrobat Reader ! Cette mise à jour publiée en urgence corrige une faille de sécurité exploitée depuis décembre 2025. Voici ce qu’il faut savoir.

CVE-2026-34621 : alerte sérieuse chez Adobe

Comme je l’évoquais dans un précédent article, une faille de sécurité zero-day est exploitée depuis décembre 2025 par les cybercriminels pour voler des données. Elle est exploitable à partir d’un document PDF malveillant et la simple ouverture de ce fichier suffit pour déclencher l’exploit.

Désormais, cette vulnérabilité a été enregistrée et elle est associée à la référence CVE-2026-34621. Initialement associé à un score CVSS de 9.6 sur 10, sa note a été légèrement revue à la baisse (8.6). En effet, cet ajustement s’explique par le fait que l’exploitation est locale et non par le réseau (ouverture d’un fichier sur la machine de l’utilisateur).

Cette vulnérabilité critique est décrite par Adobe comme étant de type “prototype pollution” au niveau du fonctionnement de JavaScript. Elle permet à un pirate de manipuler les propriétés et les objets d’une application. Dans le cas présent, l’exploitation de la CVE-2026-34621 mène à l’exécution de code sur la machine de l’utilisateur.

Les versions vulnérables et les correctifs à déployer

Adobe a publié de nouvelles mises à jour pour les versions Windows et macOS de ces applications. Voici la liste des logiciels impactés par la faille CVE-2026-34621, ainsi que les versions patchées vers lesquelles il faut migrer :

• Acrobat DC et Acrobat Reader DC : la version 26.001.21367 et antérieures sont vulnérables. Vous devez installer la version 26.001.21411.
• Acrobat 2024 : la version 24.001.30356 et antérieures sont vulnérables. La correction est apportée par la version 24.001.30362 (pour Windows) et 24.001.30360 (pour macOS).

Si vous utilisez une visionneuse PDF Adobe sur votre machine ou si vos utilisateurs l’ont à disposition, il est recommandé de patcher rapidement.