DeafNews
// 3 ZERO-DAY · 3 CVE · 2 EXPLOIT NELLE ULTIME 24H
Cybersecurity CRITICAL

Adobe Acrobat Reader: UAF nelle Annotation consente RCE via PDF malevolo

Published: Updated: By DeafSuite team 7 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
CVE-2026-27220: use-after-free nel parser Annotation di Adobe Acrobat Reader DC, CVSS 7.8. Patch disponibile, nessun exploit in-the-wild noto.

Il 10 giugno 2026 Adobe ha rilasciato il bollettino APSB26-26 correggendo CVE-2026-27220, una vulnerabilità use-after-free nel parser degli oggetti Annotation di Acrobat Reader DC che permette esecuzione di codice arbitrario tramite l'apertura di file PDF appositamente crafted. La scoperta, coordinata dalla TrendAI Zero Day Initiative, conferma che il formato PDF resta un vettore d'attacco privilegiato nonostante decenni di hardening del visualizzatore più diffuso al mondo.

Punti chiave
  • La vulnerabilità CVE-2026-27220 è un use-after-free nella gestione degli oggetti Annotation di Adobe Acrobat Reader DC, con punteggio CVSS 7.8 HIGH secondo il record ufficiale CVE
  • L'esecuzione di codice avviene nel contesto del processo corrente e richiede interazione utente: apertura di file PDF malevolo o visita di pagina web malevola
  • Le versioni affette includono la serie 24.001.30307, 24.001.30308, 25.001.21265 e precedenti; le patch portano alle versioni 25.001.21288 (Continuous) e 24.001.30356 (Classic 2024)
  • Adobe non è a conoscenza di exploit in-the-wild; la disclosure coordinata è avvenuta 128 giorni dopo la segnalazione iniziale del ricercatore Mark Vincent Yason

Il meccanismo: oggetti Annotation senza validazione

Il difetto risiede specificamente nella gestione degli oggetti Annotation del parser PDF. Secondo l'advisory ZDI-26-355, pubblicato il 10 giugno 2026 con la coordinata release pubblica, il problema deriva dalla mancata validazione dell'esistenza di un oggetto prima che il parser esegua operazioni su di esso. Questa condizione genera un use-after-free: un puntatore fa riferimento a memoria già deallocata, aprendo la strada a manipolazioni del flusso di esecuzione.

Un attaccante può sfruttare questa condizione per eseguire codice arbitrario nel contesto del processo in esecuzione. La complessità dell'attacco è bassa: il vettore AV:L/AC:L/PR:N/UI:R/S:U secondo il CVSS 3.1 indica accesso locale, bassa complessità, nessun privilegio richiesto, ma necessità di interazione utente. L'impatto integrità, confidenzialità e disponibilità è tutto marcato HIGH.

"The specific flaw exists within the handling of Annotation objects. The issue results from the lack of validating the existence of an object prior to performing operations on the object." — ZDI Advisory ZDI-26-355

Le versioni nel mirino: dal Continuous al Classic 2024

Secondo il record ufficiale CVE-2026-27220 e l'advisory vendor, le versioni affette sono quelle fino alla 25.001.21265 per il canale Continuous e fino alle 24.001.30307 e 24.001.30308 per il canale Classic 2024 su Windows e Mac. La portata è significativa: Acrobat Reader DC è distribuito su centinaia di milioni di endpoint enterprise e consumer.

Adobe ha distribuito le patch attraverso i consueti canali di aggiornamento automatico. La versione corretta per il canale Continuous è la 25.001.21288; per il Classic 2024, la 24.001.30356. Il bollettino APSB26-26 raccoglie la correzione per questa e altre vulnerabilità, con attribuzione al ricercatore Mark Vincent Yason (markyason.github.io) in collaborazione con TrendAI Zero Day Initiative.

La disclosure: 128 giorni tra segnalazione e patch

La timeline ZDI documenta una disclosure coordinata standard: la segnalazione iniziale risale al 3 febbraio 2026, la release pubblica al 10 giugno 2026. Questo intervallo di 128 giorni rientra nelle finestre tipiche di coordinazione vendor-ricevitore, ma lascia una finestra di esposizione gestita attraverso l'embargo informativo.

Sul fronte della minaccia attiva, Adobe dichiara esplicitamente: "Adobe is not aware of any exploits in the wild for any of the issues addressed in these updates". Questo dato, presente nel bollettino APSB26-26, non esclude la possibilità di weaponizzazione post-disclosure, ma documenta l'assenza di evidenza al momento della pubblicazione.

L'advisory ZDI non nomina il ricercatore: l'attribuzione completa compare solo nel bollettino Adobe. Questa discrepanza tra fonti primarie è un limite del dossier che non inficia la validità dei dettagli tecnici, ma documenta come la provenienza della scoperta emerga in modo frammentato.

Cosa fare adesso

  • Verificare la versione installata di Adobe Acrobat Reader DC: menu Aiuto > Informazioni. Se la build è uguale o inferiore a 25.001.21265 (Continuous) o 24.001.30308/24.001.30307 (Classic 2024), è necessario l'aggiornamento
  • Applicare la patch APSB26-26 attraverso il canale di distribuzione ufficiale Adobe: l'aggiornamento automatico è il veicolo primario indicato dal vendor per entrambi i canali di rilascio
  • Ridurre la superficie di attacco dai documenti esterni: limitare l'apertura di PDF provenienti da fonti non verificate, data la necessità di interazione utente per l'exploitation
  • Monitorare i log di esecuzione per anomalie nel processo AcroRd32.exe/Acrobat.exe in corrispondenza di aperture documentali da origini esterne

La longevità del vettore PDF: un problema strutturale

La ricorrenza degli use-after-free nel parser PDF di Adobe non è un accidente isolato. Il formato PDF è uno dei più complessi in circolazione: annotazioni, JavaScript, formulari, firme digitali, 3D, multimedia — ogni feature aggiunta negli anni ha ampliato la superficie di parsing esponenzialmente. Il risultato è che il visualizzatore più diffuso al mondo continua a trasportare vulnerabilità classificate come HIGH con bassa complessità di attacco.

Il dato che questa specifica falla richieda interazione utente non ne attenua la pericolosità in contesti enterprise: il PDF è il formato standard per fatture, contratti, report, comunicazioni istituzionali. La combinazione di un allegato apparentemente legittimo e un parser con validazione insufficiente sugli oggetti Annotation costituisce ancora uno dei vettori di spear-phishing più affidabili per gli attori di minaccia.

La patch è disponibile, la disclosure è coordinata, nessun exploit in-the-wild è documentato. Ma la struttura del problema — parser complesso, feature legacy, superficie di attacco vasta — suggerisce che il prossimo advisory ZDI su Adobe Reader con ID progressivo non sarà l'ultimo.

Domande frequenti

È necessario disinstallare Adobe Reader?

Il dossier non documenta raccomandazioni di disinstallazione. Adobe ha rilasciato patch specifiche; l'aggiornamento alle versioni 25.001.21288 o 24.001.30356 è la misura indicata dal vendor.

La vulnerabilità richiede privilegi elevati?

No. Il vettore CVSS indica PR:N (Privileges Required: None). L'esecuzione avviene nel contesto del processo utente corrente, senza necessità di escalation preliminare.

Perché il punteggio CVSS è 7.8 e non Critical?

Il record ufficiale CVE-2026-27220 assegna CVSS 7.8 HIGH. Adobe classifica l'impatto come Critical nella propria terminologia interna, ma il punteggio standardizzato è 7.8. Questa distinzione non è una discrepanza numerica: sono scale di valutazione diverse, entrambe documentate nel dossier.

Sul tema

  • Adobe USD: heap overflow in plugin GLTF permette RCE remoto
  • Kemp LoadMaster: RCE pre-auth CVSS 9.8, patch urgente
  • CISA: Magento Mirasvit RCE CVE-2026-45247, scadenza 72h

Fonti

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

Fonti e riferimenti
  1. zerodayinitiative.com
  2. cve.org
  3. helpx.adobe.com