어도비가 어크로뱃 리더에서 발견된 심각한 보안 취약점을 해결하기 위해 긴급 업데이트를 배포했다. 해당 취약점은 이미 실제 공격에 활용되고 있는 것으로 확인됐다.
더 해커 뉴스에 따르면, 이번 취약점은 CVE-2026-34621로 식별됐으며 CVSS 점수 8.6점을 부여받았다. 취약점 유형은 '프로토타입 오염(Prototype Pollution)'으로 공격자가 애플리케이션의 객체와 속성을 임의로 조작해 악성 코드를 실행할 수 있는 자바스크립트 보안 결함이다.
영향을 받는 제품은 윈도우와 맥OS 모두에 해당되며 어크로뱃 DC 및 어크로뱃 리더 DC 버전 26.001.21367 이하, 어크로뱃 2024 버전 24.001.30356 이하가 포함된다. 어도비는 각각 26.001.21411 및 24.001.30362(윈도우) 또는 24.001.30360(맥OS)으로 업데이트할 것을 권고했다.
어도비는 공식 발표를 통해 CVE-2026-34621이 현재 실제 환경에서 악용되고 있음을 인지하고 있다고 밝혔다. 이번 긴급 패치는 보안 연구원이자 EXPMON 창립자인 하이페이 리(Haifei Li)가 악성 PDF 파일을 열 때 어크로뱃 리더를 통해 악성 자바스크립트 코드가 실행되는 제로데이 취약점 악용 사례를 공개한 직후 이뤄졌다. 일부 정황상 해당 취약점은 이미 2025년 12월부터 악용됐을 가능성이 있는 것으로 알려졌다.
EXPMON은 "어도비가 이 버그가 단순 정보 유출에 그치지 않고 임의 코드 실행으로 이어질 수 있다고 판단한 것으로 보이며 이는 우리 및 다른 보안 연구원들의 분석 결과와 일치한다"고 밝혔다. 한편 어도비는 4월 12일 보안 권고문을 수정하면서 CVSS 점수를 당초 9.6점에서 8.6점으로 하향 조정하고 공격 벡터를 네트워크(AV:N)에서 로컬(AV:L)로 변경했다.
어크로뱃 리더 사용자는 즉시 최신 버전으로 업데이트할 것이 권고된다.
헬로티 구서경 기자 |
