Abo
  • Services:
Anzeige

Offene Sicherheitslücken im Adobe Download Manager

Problem vor allem bei auftretenden Zero-Day-Exploits

Adobe hat ein Problem mit seiner Softwareaktualisierung. Der Download Manager kann von einer beliebigen Webseite angestoßen werden, um Software zu installieren. Außerdem gibt es eine Möglichkeit, den Download Manager zum Ausführen von beliebigem Code zu bringen. Das Potenzial für gefährliche Angriffe ist recht hoch.

Im Adobe Download Manager steckt eine Sicherheitslücke, die in Kombination mit anderen Lücken gefährlich werden kann, berichtet der Sicherheitsforscher Aviv Raff in seinem Blog. Adobe bestätigt, dass es hier ein Problem gibt und will sowohl mit Aviv Raff als auch dem Dritthersteller einer Softwarekomponente zusammenarbeiten, die im Download Manager das Sicherheitsproblem auslöst.

Anzeige

Der Download Manager ist eigentlich dafür gedacht, Adobe-Produkte auf dem aktuellen Stand zu halten und so Sicherheitslücken automatisch für den Anwender zu schließen. Durch einen Fehler ist es allerdings möglich, mit dem Download Manager dem Nutzer Software aufzuzwingen. So kann ein aktiver Download Manager dazu genutzt werden, ein fehlerhaftes Adobe-Produkt mit einem Zero-Day-Sicherheitsproblem zu installieren. Der Manager bleibt auch aktiv, wenn der Nutzer sich gerade entschieden hat, ein fehlerhaftes Adobe-Produkt zu deinstallieren. Erst nach einem Neustart verschwindet die Software. Solch ein Szenario ist vor allem bei gezielten Angriffen denkbar und bei Nutzern, die ihre Rechner eher in einen Schlafmodus versetzen und nicht ständig herunterfahren.

Das Angriffsszenario sieht vor, dass das Opfer eine Webseite besucht, die den Adobe Download Manager durch einen Fehler startet. Dabei ist es etwa möglich, dem Nutzer aufzuzwingen, den Adobe Reader zu installieren, der gerade erst um zwei Sicherheitslücken mit der Version 9.3.1 erleichtert wurde. Auch McAffees Security Scan Plus, die Google Toolbar, Adobe Flash oder Adobe Reader 8 können so neben weiteren Paketen installiert werden, so Raff. Ob der Download Manager auf die fertigen Pakete zugreift, lässt Raff bisher offen. Er spricht allerdings davon, dass der Download Manager auf die aktuelle Version der Software zugreift. Ein aktuelles Ausnutzen dieser speziellen Sicherheitslücke dürfte damit ausgeschlossen sein. Allerdings gibt es noch eine weitere Sicherheitslücke.

Raff fand eigenen Angaben zufolge zudem eine Sicherheitslücke im Download Manager, die es Angreifern erlaubt, beliebigen Code auszuführen. Der Download Manager ist in der Lage, jedwede ausführbare Datei automatisch herunterzuladen, zu installieren und anschließend auszuführen. Technische Details zum Angriff will Raff allerdings erst veröffentlichen, wenn Adobe das Problem gelöst hat.

Raff empfiehlt bis auf weiteres die Deinstallation des Adobe Download Managers. Auch rät er zum Entfernen der Firefox-Erweiterung.


eye home zur Startseite
leser123456789 22. Feb 2010

Kann ich mir nicht vorstellen. Es gibt garantiert alternativen, nur setzt die wiedermal...

sicherheitslücken 19. Feb 2010

Schade das kaum wer BITS benutzt. Das ist für Schmalbander sehr angenehm und läuft und...

kopfschüttel1elf 19. Feb 2010

Simpel, schnell, sauber.



Anzeige

Stellenmarkt
  1. RATIONAL AG, Landsberg am Lech
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Daimler AG, Stuttgart
  4. KOSTAL Gruppe, Dortmund


Anzeige
Top-Angebote
  1. 229€ + 4,99€ Versand
  2. 379€
  3. 349€ (bitte nach unten scrollen)

Folgen Sie uns
       


  1. Augmented Reality

    Google stellt Project Tango ein

  2. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  3. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  4. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  5. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  6. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  7. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  8. Bauern

    Deutlich über 80 Prozent wollen FTTH

  9. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  10. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Ticket Deutschland bei der BVG: Bewegungspunkt am Straßenstrich
E-Ticket Deutschland bei der BVG
Bewegungspunkt am Straßenstrich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

  1. Re: Mit der Fritz ins Netz

    Teebecher | 03:45

  2. Re: Günstige Alternative?

    YepItsMeSuckers | 03:23

  3. Re: Wo ist da nun das Problem?

    gaym0r | 03:04

  4. Sind Sie finanziell am Ende

    firstaccess | 02:51

  5. Sind Sie finanziell am Ende

    firstaccess | 02:48


  1. 12:47

  2. 11:39

  3. 09:03

  4. 17:47

  5. 17:38

  6. 16:17

  7. 15:50

  8. 15:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel