In juni 2026 bracht Adobe beveiligingspatches uit die 123 kwetsbaarheden in zijn producten dekten, waarvan 47 als kritiek werden beoordeeld. Adobe Acrobat Reader stond op de lijst. Het stond ook op de lijst in april en maart, en in vrijwel elke patchcyclus van de afgelopen jaren. Op een gegeven moment is het de moeite waard om je af te vragen: waarom heeft een programma dat documenten leest steeds zoveel reparaties nodig?
Het antwoord heeft minder te maken met de onvoorzichtigheid van Adobe, maar meer met wat PDF-bestanden eigenlijk zijn – en wat dat betekent voor iedereen die er regelmatig mee werkt.
PDF Bestanden zijn ingewikkelder dan ze eruitzien
Van buitenaf ziet een PDF eruit als een vergrendeld document: een digitale versie van een afgedrukte pagina die precies blijft zoals bedoeld. Maar onder de motorkap ondersteunt het PDF-formaat JavaScript-uitvoering, ingesloten lettertypen, 3D-objecten, digitale handtekeningen, formuliervelden, multimediabijlagen en links naar externe servers. Het is ontworpen als een veelzijdige container, niet alleen als een statische afbeelding van tekst.
Deze complexiteit is precies wat PDF Beveiliging tot een terugkerend probleem maakt. Elke functie die PDFs nuttig maakt – interactieve formulieren, ingebedde scripts, de mogelijkheid om externe bronnen te laden – is ook een potentiële aanvalsvector. Een kwaadaardige PDF kan er volkomen normaal uitzien terwijl hij verborgen code uitvoert zodra u deze opent.
Dit is niet theoretisch. In april 2026 bracht Adobe een noodpatch uit voor een zero-day-kwetsbaarheid in Acrobat Reader – CVE-2026-34621 – die al in het wild werd uitgebuit. Beveiligingsonderzoeker Haifei Li vond kwaadaardige PDF-voorbeelden waarin misbruik werd gemaakt van de fout die teruggaat tot november 2025, wat betekent dat aanvallers de fout al maanden stilletjes gebruikten voordat deze werd ontdekt. Het openen van het bestand was voldoende. Geen extra klikken, geen toestemmingsprompts. De PDF werd geopend, zag er normaal uit en de code draaide stil op de achtergrond.
Waarom dit blijft gebeuren
Adobe Acrobat wordt sinds het begin van de jaren 2000 voortdurend gepatcht. Het is niet zo dat Adobe het niet probeert: elke update dicht echte gaten. Het probleem is structureel: Acrobat is een grote, oude codebase die een enorme verscheidenheid aan PDF-bestanden moet verwerken, inclusief bestanden die tientallen jaren geleden zijn gemaakt met verschillende aannames over beveiliging. Elke keer dat onderzoekers een nieuwe manier vinden om een PDF-functie te misbruiken, is er een nieuwe patch nodig.
De Patch Tuesday-batch van juni 2026 bevatte oplossingen voor de uitvoering van willekeurige code en kwetsbaarheden bij escalatie van bevoegdheden in Acrobat Reader – dezelfde categorieën die in vrijwel elk beveiligingsbulletin van Adobe voorkomen. Dit zijn geen randgevallen. Op heap gebaseerde bufferoverflows, use-after-free-fouten, out-of-bounds-lezingen: de typen kwetsbaarheden herhalen zich omdat de onderliggende architectuur terugkerende kansen voor hen creëert.
Aanvallers weten dit ook. Op PDF gebaseerde aanvallen zijn zo betrouwbaar dat ze zelfs in 2026 een standaard leveringsmechanisme voor malware blijven. De alomtegenwoordigheid van het bestandsformaat (bijna elk apparaat kan een PDF openen) maakt het een aantrekkelijk doelwit.
Wat kan er feitelijk gebeuren als u het verkeerde bestand opent
De zero-day van april 2026 is een nuttige casestudy van hoe op PDF gebaseerde aanvallen er in de praktijk uitzien. Het beveiligingslek werkte door misbruik te maken van een fout in de manier waarop Acrobat Reader met JavaScript omging, met name een prototype van een vervuilingsbug waarmee aanvallers konden wijzigen hoe de JavaScript-objecten van de toepassing zich gedroegen.
Wanneer een slachtoffer de kwaadaardige PDF opende, kon de verborgen code extra JavaScript van een externe server ophalen en in Acrobat Reader uitvoeren. Van daaruit zou het bestanden van de lokale machine kunnen stelen en deze kunnen verzenden, waarbij de sandbox-beveiligingen worden omzeild die Acrobat gebruikt om te beperken waartoe de toepassing toegang heeft. Beveiligingsonderzoekers bevestigden dat lokale bestandsdiefstal mogelijk was, zelfs zonder volledige uitvoering van de code op afstand.
Simpel gezegd: iemand stuurt u een PDF die lijkt op een factuur, een contract of een rapport. Je opent het met een PDF Editor of viewer. Er gebeurt niets ongewoons op het scherm. Ondertussen worden bestanden gelezen en ergens anders verzonden.
De gewoonten die uw risico daadwerkelijk verminderen
Het up-to-date houden van uw PDF-software is het belangrijkste dat u kunt doen, en het is niet optioneel. De zero-day van april werd al maandenlang uitgebuit voordat Adobe deze patchte. Tijdens die periode werd iedereen met een niet-gepatchte versie van Acrobat Reader blootgesteld. Nadat de patch was verzonden, werd het venster gesloten, maar alleen voor mensen die de patch daadwerkelijk hadden geïnstalleerd.
De bron is belangrijker dan de meeste mensen zich realiseren. PDFs van collega's, bekende leveranciers en gevestigde instellingen hebben andere risicoprofielen dan PDFs die ongevraagd in e-mail aankomen, als bijlagen in onbekende berichten verschijnen of afkomstig zijn van links naar het delen van bestanden zonder duidelijke herkomst. Dat is geen reden om bij elk document paranoïde te zijn, maar het is wel een reden om even te pauzeren voordat u iets opent dat u niet had verwacht.
Het uitschakelen van JavaScript in Acrobat Reader verwijdert een aanzienlijk deel van het aanvalsoppervlak. Voor de meeste dagelijkse PDF Tools taken (documenten lezen, formulieren invullen, handtekeningen toevoegen) is helemaal geen JavaScript vereist. U kunt dit uitschakelen in de voorkeuren van Acrobat onder Bewerken > Voorkeuren > JavaScript. De wisselwerking is dat sommige complexe interactieve PDFs mogelijk niet correct werken, maar voor de meeste gebruikers is dat een redelijke ruil.
Waarom waar u PDFs zaken verwerkt
Desktop PDF-software brengt inherente risico's met zich mee die browsergebaseerde tools niet hebben. Een kwetsbaarheid in een lokaal geïnstalleerde applicatie kan een wisselwerking hebben met uw bestandssysteem, uw netwerk en uw andere actieve software. Dat is de omgeving waar de zero-day van april gebruik van maakte: de toegang van Acrobat Reader tot lokale bestanden maakte de gegevensdiefstal mogelijk.
Browsergebaseerde tools werken in een fundamenteel andere omgeving. Wanneer u een document uploadt naar WukongPDF om het te comprimeren, samen te voegen of te converteren, gebeurt de verwerking in een sandbox-webomgeving die niet dezelfde toegang tot uw lokale systeem heeft als een desktoptoepassing. Er draait geen persistente software op uw machine die moet worden gepatcht, en er zijn geen kwetsbaarheden op applicatieniveau die tussen updatecycli door kunnen worden misbruikt.
Dat is geen argument tegen desktopsoftware voor complexe PDF Workflow behoeften; er zijn legitieme gevallen waarin een lokale applicatie met volledige functionaliteit zinvol is. Maar voor de meest voorkomende documenttaken zijn de architectonische verschillen van belang. Een tool die in een browsertabblad wordt uitgevoerd en vervolgens wordt gesloten, heeft een veel kleiner aanvalsoppervlak dan een persistente applicatie met diepe systeemtoegang. Gezien hoe consequent PDFs als aanvalsvector worden gebruikt, is dat verschil de moeite waard om rekening mee te houden.