Auf einen Blick
Adobe hat ein Sicherheitsupdate für Acrobat und Reader veröffentlicht und damit die aktiv ausgenutzte PDF-Schwachstelle CVE-2026-34621 geschlossen. Die US-Behörde CISA nahm den Fall in ihren Katalog bekannter ausgenutzter Lücken auf und setzte für Bundesbehörden eine Frist bis zum 27. April.
Das Wichtigste
- Adobe hat mit dem Bulletin APSB26-43 die Schwachstelle CVE-2026-34621 in Acrobat und Reader behoben.
- Gepatcht sind Acrobat und Reader DC Continuous in Version 26.001.21411 sowie Acrobat 2024 Classic in Version 24.001.30362 für Windows und 24.001.30360 für macOS.
- CISA führt die Lücke seit dem 13. April als aktiv ausgenutzt und setzt US-Bundesbehörden im KEV-Katalog eine Frist bis zum 27. April.
Adobe schließt aktiv ausgenutzte Acrobat-Lücke
Adobe hat am 12. April Updates für Acrobat und Reader veröffentlicht. Das Sicherheitsbulletin APSB26-43 behebt CVE-2026-34621, eine Schwachstelle, die nach Angaben des Unternehmens bereits bei Angriffen genutzt wurde. Betroffen sind Windows- und macOS-Versionen von Acrobat DC, Reader DC und Acrobat 2024 Classic. Der Fall ist relevant, weil das Öffnen einer präparierten PDF-Datei zur Ausführung von Code führen kann.
Betroffene Versionen und Patch-Stand
Nach Adobe betrifft die Lücke Acrobat DC Continuous und Reader DC Continuous bis einschließlich Version 26.001.21367 sowie Acrobat 2024 Classic bis einschließlich 24.001.30356. Bereitgestellt wurden die Versionen 26.001.21411 für DC Continuous, 24.001.30362 für Windows und 24.001.30360 für macOS. Adobe stuft das Update mit Priorität 1 ein. Die Schwachstelle ist als “Prototype Pollution” klassifiziert und wird im Bulletin mit einem CVSS-Wert von 8,6 geführt.
CISA setzt Frist für US-Bundesbehörden
Die US-Behörde CISA nahm CVE-2026-34621 am 13. April in den Known Exploited Vulnerabilities Catalog auf. Im Eintrag nennt die Behörde den 27. April als Frist für Maßnahmen nach BOD 22-01 in Bundesbehörden. Der Katalog umfasst nur Schwachstellen mit bestätigter Ausnutzung. Sicherheitsforscher von Malwarebytes datieren analysierte schädliche PDF-Muster auf November 2025 und sprechen damit für eine längere Angriffsphase.
Adobe verteilt das Update über die üblichen Kanäle
Adobe empfiehlt die sofortige Installation über die integrierte Update-Funktion und über zentrale Verteilwege in Unternehmensumgebungen. Weitere Einzelheiten zu Angreifern oder zur Zahl betroffener Systeme nannte das Unternehmen bislang nicht. Die NVD beschreibt die Schwachstelle als Fehler, der Benutzerinteraktion voraussetzt, also in der Regel das Öffnen einer manipulierten Datei.
Patch, Frist und Zuständigkeit sind jetzt klar
Mit dem Adobe-Update und der Aufnahme in den KEV-Katalog sind die betroffenen Versionen und die behördliche Frist klar benannt. Für größere Installationen von Acrobat und Reader rückt damit vor allem die schnelle Verteilung der aktualisierten Builds in den Vordergrund.
