Il 24 giugno 2026 Adobe ha pubblicato il bollettino APSB26-26 correggendo CVE-2026-27278, una vulnerabilità di esecuzione remota di codice in Acrobat Reader DC scoperta dal ricercatore Mark Vincent Yason attraverso il programma TrendAI Zero Day Initiative. Il difetto risiede nel parser degli oggetti Field, specificamente nel campo signatureInfo, e permette a un attaccante di ottenere controllo completo del processo Reader inducendo l'utente ad aprire un documento PDF malevolo. L'assenza di exploit in-the-wild non attenua la criticità: il vettore è banale, la superficie d'attacco immensa.
- CVE-2026-27278/ZDI-26-361 è una vulnerabilità Use-After-Free (CWE-416) nel campo
signatureInfodegli oggetti Field di Adobe Acrobat Reader DC - L'impatto è esecuzione arbitraria di codice nel contesto del processo Reader, con CVSS 7.8 HIGH secondo il record ufficiale CVE e le tabelle Adobe e ZDI
- Il vettore richiede soltanto l'apertura di un PDF malevolo o la visita di una pagina web che lo distribuisca
- Le versioni patchate sono la 25.001.21288 (Continuous) e la 24.001.30356 (2024 Classic), pubblicate nel bollettino APSB26-26
Il meccanismo: quando la firma diventa exploit
La vulnerabilità si annida in una funzione apparentemente innocua. Il campo signatureInfo gestisce le informazioni relative alle firme digitali nei documenti PDF, un componente dedicato a trust e autenticità. Secondo l'advisory ZDI-26-361, il difetto specifico deriva dalla mancanza di validazione dell'esistenza di un oggetto prima di eseguire operazioni su di esso: il parser dereferenzia signatureInfo senza verificare che l'oggetto sia ancora allocato in memoria.
Questo errore di programmazione classifica la falla come Use-After-Free, una delle categorie più pericolose nella gestione della memoria native. Un attaccante che controlla il contenuto di un PDF può manipolare la sequenza di oggetti Field per forzare la deallocazione prematura della struttura dati, poi riutilizzare il puntatore orfano per corrompere l'heap e redirezionare l'esecuzione del codice. Il risultato è l'esecuzione arbitraria di payload nel contesto del processo Acrobat Reader, tipicamente con i privilegi dell'utente corrente.
"This vulnerability allows remote attackers to execute arbitrary code on affected installations of Adobe Acrobat Reader DC. User interaction is required to exploit this vulnerability in that the target must visit a malicious page or open a malicious file." — ZDI-26-361 advisory
La superficie d'attacco: miliardi di target, un click di distanza
Acrobat Reader DC è tra i software più distribuiti al mondo, presente su sistemi consumer e aziendali attraverso licenze individuali, abbonamenti Creative Cloud e deployment gestiti in centinaia di migliaia di organizzazioni. La vulnerabilità non richiede condizioni particolari: il vettore è un file PDF, il formato documentale più scambiato quotidianamente via email, web e messaggistica.
Il vettore CVSS conferma la facilità operativa: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H. L'accesso locale (AV:L) indica che l'attaccante deve indurre la vittima a scaricare e aprire il file, non che richieda presenza fisica; la complessità dell'attacco è bassa (AC:L), non sono necessari privilegi pregressi (PR:N), e l'impatto tocca riservatezza, integrità e disponibilità tutti al massimo (C:H/I:H/A:H). La componente UI:R — user interaction required — è l'unico filtro, ma in un ecosistema dove il phishing documentale è routine, questo limite è marginale.
Adobe classifica la priorità di deployment come 3, indicando un aggiornamento entro 30 giorni per gli ambienti enterprise. La tempistica riflette il bilanciamento tra gravità tecnica e assenza — al momento — di exploit documentati in natura.
Timeline e disclosure: quattro mesi di coordinazione
Il ciclo di responsible disclosure è stato gestito secondo i protocolli ZDI. La vulnerabilità è stata segnalata al vendor il 24 febbraio 2026; la pubblicazione coordinata è avvenuta il 24 giugno 2026, dopo circa quattro mesi di sviluppo patch. L'advisory ZDI-26-361 porta l'identificatore di tracciamento ZDI-CAN-29178, collegato al CVE ufficiale 2026-27278.
Il ricercatore Mark Vincent Yason, affiliato al sito markyason.github.io, ha ricevuto credito esplicito nel bollettino Adobe APSB26-26. La collaborazione attraverso TrendAI Zero Day Initiative garantisce che la segnalazione sia stata verificata, replicata e documentata tecnicamente prima della comunicazione al vendor, un processo che separa le advisory strutturate ZDI dalle segnalazioni anonime o non validate.
Secondo Adobe, "Adobe is not aware of any exploits in the wild for any of the issues addressed in these updates." Questa dichiarazione, presente nel bollettino ufficiale, non equivale a garanzia futura: la pubblicazione dell'advisory ZDI con dettagli tecnici sul meccanismo di corruzione memoria fornisce agli attori malevoli un blueprint per lo sviluppo di exploit.
Cosa fare adesso
- Verificare la versione installata di Acrobat Reader DC: aggiornare alla 25.001.21288 o successiva per il canale Continuous, oppure alla 24.001.30356 o successiva per il canale 2024 Classic, come indicato nel bollettino APSB26-26
- Nei deployment enterprise, accelerare il rollout della priorità 3 Adobe entro la finestra dei 30 giorni, dando precedenza ai sistemi con accesso a documenti esterni non filtrati
- Revisionare le policy di gestione allegati PDF in ingresso: il vettore richiede apertura di file locali, quindi i controlli di sicurezza perimetrale su email e web non sono sufficienti da soli
- Monitorare i log di esecuzione di Acrobat Reader per anomalie di crash o comportamenti di processo inconsueti, segnalandoli ai team di sicurezza per correlazione con tentativi di spear-phishing documentale
La lezione: la sicurezza è dove non la cerchi
Il caso CVE-2026-27278 esemplifica un pattern ricorrente nella sicurezza software moderna: i componenti dedicati a funzioni di trust — firma, validazione, autenticità — diventano themselves superfici di attacco per la loro esposizione privilegiata ai dati non attendibili. Il parser di signatureInfo elabora metadati progettati per garantire integrità, ma la sua implementazione introduce una falla di memoria che annulla quella stessa integrità.
Per le organizzazioni, la lezione operativa sta nel divario tra percezione e realtà: un PDF firmato o anche solo contenente metadati di firma non è intrinsecamente più sicuro di qualsiasi altro documento. La catena di fiducia si rompe dove il codice incontra i dati, e in questo caso il punto di rottura era nel parser, non nel crittogramma. L'aggiornamento tempestivo resta l'unica contromisura documentata e verificata.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- http://www.zerodayinitiative.com/advisories/ZDI-26-361/
- http://www.zerodayinitiative.com/advisories/published/
- https://www.cve.org/CVERecord?id=CVE-2026-27278
- http://www.zerodayinitiative.com/advisories/upcoming/
- https://helpx.adobe.com/security/products/acrobat/apsb26-26.html