Im Juni 2026 veröffentlichte Adobe Sicherheitspatches, die 123 Schwachstellen in seinen Produkten abdeckten, von denen 47 als kritisch eingestuft wurden. Adobe Acrobat Reader war auf der Liste. Es stand auch im April und März auf der Liste und in den letzten Jahren praktisch in jedem Patch-Zyklus. Irgendwann lohnt es sich zu fragen: Warum benötigt ein Programm, das Dokumente liest, ständig so viele Korrekturen?
Die Antwort liegt weniger in der Nachlässigkeit von Adobe als vielmehr darin, was PDF-Dateien eigentlich sind – und was das für jeden bedeutet, der regelmäßig mit ihnen arbeitet.
PDFDateien sind komplizierter als sie aussehen
Von außen sieht ein PDF wie ein gesperrtes Dokument aus – eine digitale Version einer gedruckten Seite, die genau so bleibt, wie sie vorgesehen ist. Aber unter der Haube unterstützt das PDF-Format die Ausführung von JavaScript, eingebettete Schriftarten, 3D-Objekte, digitale Signaturen, Formularfelder, Multimedia-Anhänge und Links zu externen Servern. Es wurde als vielseitiger Behälter konzipiert und nicht nur als statisches Textbild.
Genau diese Komplexität macht PDF Security zu einem wiederkehrenden Problem. Jede Funktion, die PDFs nützlich macht – interaktive Formulare, eingebettete Skripte, die Möglichkeit, externe Ressourcen zu laden – ist auch ein potenzieller Angriffsvektor. Ein bösartiges PDF kann völlig normal aussehen, wenn versteckter Code ausgeführt wird, sobald Sie es öffnen.
Das ist nicht theoretisch. Im April 2026 veröffentlichte Adobe einen Notfall-Patch für eine Zero-Day-Schwachstelle im Acrobat Reader – CVE-2026-34621 – die bereits im Umlauf war. Der Sicherheitsforscher Haifei Li fand bösartige PDF-Beispiele, die die Schwachstelle aus dem November 2025 ausnutzten, was bedeutet, dass Angreifer sie monatelang stillschweigend genutzt hatten, bevor sie entdeckt wurde. Es reichte, die Datei zu öffnen. Keine zusätzlichen Klicks, keine Aufforderungen zur Berechtigung. Das PDF wurde geöffnet, sah normal aus und der Code lief lautlos im Hintergrund.
Versuchen Sie, PDF zu bearbeiten
Keine Installation erforderlich. Funktioniert direkt in Ihrem Browser.
Warum das immer wieder passiert
Adobe Acrobat wird seit Anfang der 2000er Jahre kontinuierlich gepatcht. Es ist nicht so, dass Adobe es nicht versucht hätte – jedes Update schließt wirklich echte Lücken. Das Problem ist struktureller Natur: Acrobat ist eine große, alte Codebasis, die eine enorme Vielfalt an PDF-Dateien verarbeiten muss, darunter auch solche, die vor Jahrzehnten mit unterschiedlichen Sicherheitsannahmen erstellt wurden. Jedes Mal, wenn Forscher einen neuen Weg finden, eine PDF-Funktion zu missbrauchen, ist ein neuer Patch erforderlich.
Der Patch-Dienstag-Batch vom Juni 2026 enthielt Korrekturen für Schwachstellen bei der Ausführung willkürlichen Codes und bei der Rechteausweitung in Acrobat Reader – dieselben Kategorien, die in fast jedem Sicherheitsbulletin von Adobe auftauchen. Dies sind keine Randfälle. Heap-basierte Pufferüberläufe, Use-After-Free-Fehler, Lesevorgänge außerhalb der Grenzen – die Schwachstellentypen wiederholen sich, weil die zugrunde liegende Architektur für sie wiederkehrende Möglichkeiten schafft.
Das wissen auch Angreifer. PDF-basierte Angriffe sind so zuverlässig, dass sie auch im Jahr 2026 weiterhin ein Standard-Übermittlungsmechanismus für Malware bleiben. Die Allgegenwärtigkeit des Dateiformats – fast jedes Gerät kann ein PDF öffnen – macht es zu einem attraktiven Ziel.
Was kann tatsächlich passieren, wenn Sie die falsche Datei öffnen
Der Zero-Day vom April 2026 ist eine nützliche Fallstudie darüber, wie PDF-basierte Angriffe in der Praxis aussehen. Die Schwachstelle funktionierte, indem sie einen Fehler in der Verarbeitung von JavaScript durch Acrobat Reader ausnutzte – insbesondere einen Prototyp-Verschmutzungsfehler, der es Angreifern ermöglichte, das Verhalten der JavaScript-Objekte der Anwendung zu ändern.
Wenn ein Opfer das bösartige PDF öffnete, konnte der versteckte Code zusätzliches JavaScript von einem Remote-Server abrufen und in Acrobat Reader ausführen. Von dort aus könnte es Dateien vom lokalen Computer stehlen und versenden – und dabei den Sandbox-Schutz umgehen, den Acrobat verwendet, um den Zugriff der Anwendung einzuschränken. Sicherheitsforscher bestätigten, dass lokaler Dateidiebstahl auch ohne vollständige Remote-Codeausführung möglich war.
Im Klartext: Jemand schickt Ihnen ein PDF, das wie eine Rechnung, ein Vertrag oder ein Bericht aussieht. Sie öffnen es mit einem PDF Editor oder Viewer. Auf dem Bildschirm passiert nichts Ungewöhnliches. In der Zwischenzeit werden Dateien gelesen und woanders verschickt.
Die Gewohnheiten, die Ihr Risiko tatsächlich reduzieren
Keeping your PDF software updated is the most important thing you can do, and it's not optional. Der Zero-Day im April wurde monatelang ausgenutzt, bevor Adobe ihn gepatcht hat. Während dieses Zeitfensters wurde jeder, der eine ungepatchte Version von Acrobat Reader ausführte, gefährdet. Nachdem der Patch versendet wurde, schloss sich das Fenster – allerdings nur für Leute, die es tatsächlich installiert hatten.
Die Quelle ist wichtiger, als den meisten Menschen bewusst ist. PDFs von Kollegen, bekannten Anbietern und etablierten Institutionen weisen ein anderes Risikoprofil auf als PDFs, die unaufgefordert per E-Mail eingehen, als Anhänge in unbekannten Nachrichten erscheinen oder von Filesharing-Links ohne eindeutige Herkunft stammen. Das ist kein Grund, bei jedem Dokument paranoid zu sein, aber es ist ein Grund, innezuhalten, bevor Sie etwas öffnen, mit dem Sie nicht gerechnet haben.
Durch die Deaktivierung von JavaScript im Acrobat Reader wird ein erheblicher Teil der Angriffsfläche entfernt. Für die meisten alltäglichen PDF Tools-Aufgaben – Dokumente lesen, Formulare ausfüllen, Unterschriften hinzufügen – ist überhaupt kein JavaScript erforderlich. Sie können es in den Acrobat-Einstellungen unter Bearbeiten > deaktivieren. Einstellungen > JavaScript. The tradeoff is that some complex interactive PDFs may not work correctly, but for most users, that's a reasonable exchange.
Warum es wichtig ist, wo Sie PDFs verarbeiten
Desktop-PDF-Software birgt ein inhärentes Risiko, das bei browserbasierten Tools nicht der Fall ist. Eine Schwachstelle in einer lokal installierten Anwendung kann mit Ihrem Dateisystem, Ihrem Netzwerk und Ihrer anderen laufenden Software interagieren. Das ist die Umgebung, die der Zero-Day-Angriff im April ausgenutzt hat – der Zugriff von Acrobat Reader auf lokale Dateien hat den Datendiebstahl ermöglicht.
Browserbasierte Tools arbeiten in einer grundlegend anderen Umgebung. Wenn Sie ein Dokument auf WukongPDF hochladen, um es zu komprimieren, zusammenzuführen oder zu konvertieren, erfolgt die Verarbeitung in einer Sandbox-Webumgebung, die nicht den gleichen Zugriff auf Ihr lokales System hat wie eine Desktop-Anwendung. Auf Ihrem Computer läuft keine permanente Software, die gepatcht werden muss, und es gibt keine Schwachstellen auf Anwendungsebene, die zwischen den Aktualisierungszyklen ausgenutzt werden könnten.
Das ist kein Argument gegen Desktop-Software für komplexe PDF Workflow-Anforderungen – es gibt legitime Fälle, in denen eine voll funktionsfähige lokale Anwendung sinnvoll ist. Bei den häufigsten Dokumentenaufgaben sind jedoch die architektonischen Unterschiede von Bedeutung. Ein Tool, das in einem Browser-Tab ausgeführt und dann geschlossen wird, hat eine viel kleinere Angriffsfläche als eine persistente Anwendung mit tiefem Systemzugriff. Wenn man bedenkt, wie häufig PDFs als Angriffsvektor verwendet werden, lohnt es sich, diesen Unterschied zu berücksichtigen.
Versuchen Sie, PDF zu bearbeiten
Keine Installation erforderlich. Funktioniert direkt in Ihrem Browser.