Adobe vient de publier un correctif d’urgence pour Acrobat Reader, son lecteur PDF installé sur des millions de machines. La faille, référencée CVE-2026-34621, permet à un attaquant d’exécuter du code malveillant à distance. La méthode est d’une simplicité redoutable : il suffit d’ouvrir un document PDF piégé. Cette vulnérabilité est exploitée activement depuis décembre 2025.

Ce que la faille permet concrètement

La vulnérabilité repose sur un mécanisme dit de « prototype pollution » en JavaScript. Un attaquant peut manipuler les objets internes de l’application pour en prendre le contrôle. Le score de gravité CVSS a d’abord été fixé à 9,6 sur 10, avant d’être révisé à 8,6 après analyse complémentaire. Le chercheur en sécurité Haifei Li, fondateur de la plateforme de détection EXPMON, a été le premier à identifier l’exploitation. Les PDF piégés analysés contenaient des leurres rédigés en russe, liés au secteur pétrolier et gazier. Une fois ouvert dans Adobe Reader, le document déclenche