Nel giugno 2026, Adobe ha rilasciato patch di sicurezza che coprono 123 vulnerabilità nei suoi prodotti, 47 delle quali classificate critiche. Adobe Acrobat Reader era nell'elenco. È stato anche nell'elenco ad aprile e marzo e praticamente in ogni ciclo di patch negli ultimi anni. Ad un certo punto vale la pena chiedersi: perché un programma che legge documenti continua ad aver bisogno di così tante correzioni?
La risposta ha meno a che fare con la negligenza di Adobe e più con ciò che sono effettivamente i file PDF e cosa significa per chiunque lavori con loro regolarmente.
PDF I file sono più complicati di quanto sembri
Dall'esterno, un PDF sembra un documento protetto, una versione digitale di una pagina stampata che rimane esattamente come previsto. Ma sotto il cofano, il formato PDF supporta l'esecuzione di JavaScript, caratteri incorporati, oggetti 3D, firme digitali, campi modulo, allegati multimediali e collegamenti a server esterni. È stato progettato per essere un contenitore versatile, non solo un'immagine statica di testo.
Questa complessità è esattamente ciò che rende PDF Sicurezza un problema ricorrente. Ogni funzionalità che rende PDF utile (moduli interattivi, script incorporati, possibilità di caricare risorse esterne) è anche un potenziale vettore di attacco. Un PDF dannoso può sembrare del tutto normale mentre esegue codice nascosto nel momento in cui lo apri.
Questo non è teorico. Nell’aprile 2026, Adobe ha rilasciato una patch di emergenza per una vulnerabilità zero-day in Acrobat Reader – CVE-2026-34621 – che veniva già sfruttata in modo diffuso. Il ricercatore di sicurezza Haifei Li ha trovato campioni PDF dannosi che abusavano della falla risalenti a novembre 2025, il che significa che gli aggressori lo avevano utilizzato in silenzio per mesi prima che fosse scoperto. È stato sufficiente aprire il file. Nessun clic extra, nessuna richiesta di autorizzazione. Il PDF si apriva, sembrava normale e il codice veniva eseguito silenziosamente in background.
Prova a modificare PDF
Nessuna installazione necessaria. Funziona direttamente nel tuo browser.
Perché continua a succedere
Adobe Acrobat è stato aggiornato continuamente dall'inizio degli anni 2000. Non è che Adobe non ci stia provando: ogni aggiornamento chiude davvero dei veri buchi. Il problema è strutturale: Acrobat è una vecchia e grande base di codice che deve gestire un'enorme varietà di file PDF, compresi quelli creati decenni fa con diversi presupposti sulla sicurezza. Ogni volta che i ricercatori trovano un nuovo modo per abusare di una funzionalità PDF, è necessaria una nuova patch.
Il batch del Patch Tuesday di giugno 2026 includeva correzioni per l’esecuzione di codice arbitrario e le vulnerabilità di escalation dei privilegi in Acrobat Reader, le stesse categorie che compaiono in quasi tutti i bollettini sulla sicurezza di Adobe. Questi non sono casi limite. Overflow del buffer basato su heap, errori use-after-free, letture fuori dai limiti: i tipi di vulnerabilità si ripetono perché l'architettura sottostante crea opportunità ricorrenti per loro.
Anche gli aggressori lo sanno. Gli attacchi basati su PDF sono sufficientemente affidabili da rimanere un meccanismo di distribuzione standard per il malware, anche nel 2026. L'ubiquità del formato di file (quasi tutti i dispositivi possono aprire un PDF) lo rende un obiettivo attraente.
Cosa può realmente succedere quando apri il file sbagliato
Lo zero-day dell'aprile 2026 è un utile caso di studio su come si presentano nella pratica gli attacchi basati su PDF. La vulnerabilità ha funzionato sfruttando un difetto nel modo in cui Acrobat Reader gestiva JavaScript, in particolare un bug di inquinamento del prototipo che consentiva agli aggressori di modificare il comportamento degli oggetti JavaScript dell'applicazione.
Quando una vittima apriva il PDF dannoso, il codice nascosto poteva estrarre JavaScript aggiuntivo da un server remoto ed eseguirlo all'interno di Acrobat Reader. Da lì, potrebbe rubare file dal computer locale e inviarli all’esterno, aggirando le protezioni sandbox utilizzate da Acrobat per limitare ciò a cui l’applicazione può accedere. I ricercatori della sicurezza hanno confermato che il furto di file locali era possibile anche senza raggiungere la completa esecuzione del codice remoto.
In parole povere: qualcuno ti invia un PDF che sembra una fattura, un contratto o un rapporto. Puoi aprirlo utilizzando un PDF Editor o un visualizzatore. Sullo schermo non accade nulla di insolito. Nel frattempo, i file vengono letti e inviati altrove.
Le abitudini che riducono effettivamente i rischi
Mantenere aggiornato il software PDF è la cosa più importante che puoi fare e non è facoltativo. Lo zero-day di aprile era stato sfruttato per mesi prima che Adobe lo risolvesse. Durante quel periodo, tutti coloro che utilizzavano una versione senza patch di Acrobat Reader furono esposti. Dopo la spedizione della patch, la finestra si è chiusa, ma solo per le persone che l'hanno effettivamente installata.
La fonte conta più di quanto la maggior parte delle persone creda. I PDF provenienti da colleghi, fornitori noti e istituzioni affermate comportano profili di rischio diversi rispetto ai PDF che arrivano non richiesti tramite e-mail, appaiono come allegati in messaggi sconosciuti o provengono da collegamenti di condivisione di file senza un'origine chiara. Questo non è un motivo per essere paranoici riguardo a ogni documento, ma è un motivo per fermarsi prima di aprire qualcosa che non ti aspettavi.
La disabilitazione di JavaScript in Acrobat Reader rimuove una parte significativa della superficie di attacco. La maggior parte delle attività quotidiane di PDF Strumenti (lettura di documenti, compilazione di moduli, aggiunta di firme) non richiedono affatto JavaScript. Puoi disattivarlo nelle preferenze di Acrobat in Modifica > Preferenze > JavaScript. Il compromesso è che alcuni PDF interattivi complessi potrebbero non funzionare correttamente, ma per la maggior parte degli utenti si tratta di uno scambio ragionevole.
Perché il luogo in cui elabori i PDF è importante
Il software desktop PDF comporta rischi intrinseci che gli strumenti basati su browser non comportano. Una vulnerabilità in un'applicazione installata localmente può interagire con il file system, la rete e gli altri software in esecuzione. Questo è l'ambiente sfruttato dallo zero-day di aprile: l'accesso di Acrobat Reader ai file locali è ciò che ha reso possibile il furto di dati.
Gli strumenti basati su browser operano in un ambiente fondamentalmente diverso. Quando carichi un documento su WukongPDF per comprimerlo, unirlo o convertirlo, l'elaborazione avviene in un ambiente web sandbox che non ha lo stesso accesso al tuo sistema locale di un'applicazione desktop. Non c'è alcun software persistente in esecuzione sul tuo computer che necessiti di patch, né vulnerabilità a livello di applicazione da sfruttare tra i cicli di aggiornamento.
Questo non è un argomento contro il software desktop per esigenze complesse di PDF flusso di lavoro: ci sono casi legittimi in cui un'applicazione locale completa di tutte le funzionalità ha senso. Ma per le attività documentali più comuni, le differenze architetturali contano. Uno strumento che viene eseguito in una scheda del browser e poi si chiude ha una superficie di attacco molto più ridotta rispetto a un'applicazione persistente con accesso approfondito al sistema. Considerando la coerenza con cui i PDF vengono utilizzati come vettore di attacco, vale la pena considerare questa differenza.
Prova a modificare PDF
Nessuna installazione necessaria. Funziona direttamente nel tuo browser.