Offene Sicherheitslücken im Adobe Download Manager

Problem vor allem bei auftretenden Zero-Day-Exploits

Adobe hat ein Problem mit seiner Softwareaktualisierung. Der Download Manager kann von einer beliebigen Webseite angestoßen werden, um Software zu installieren. Außerdem gibt es eine Möglichkeit, den Download Manager zum Ausführen von beliebigem Code zu bringen. Das Potenzial für gefährliche Angriffe ist recht hoch.

Artikel veröffentlicht am ,

Im Adobe Download Manager steckt eine Sicherheitslücke, die in Kombination mit anderen Lücken gefährlich werden kann, berichtet der Sicherheitsforscher Aviv Raff in seinem Blog. Adobe bestätigt, dass es hier ein Problem gibt und will sowohl mit Aviv Raff als auch dem Dritthersteller einer Softwarekomponente zusammenarbeiten, die im Download Manager das Sicherheitsproblem auslöst.

Stellenmarkt
  1. Fachinformatiker für Systemintegration (m/w/d)
    syskomp gehmeyr GmbH, Amberg, Regensburg
  2. Cloud DevOps Engineer (m/w/d)
    OEDIV KG, Bielefeld, deutschlandweit
Detailsuche

Der Download Manager ist eigentlich dafür gedacht, Adobe-Produkte auf dem aktuellen Stand zu halten und so Sicherheitslücken automatisch für den Anwender zu schließen. Durch einen Fehler ist es allerdings möglich, mit dem Download Manager dem Nutzer Software aufzuzwingen. So kann ein aktiver Download Manager dazu genutzt werden, ein fehlerhaftes Adobe-Produkt mit einem Zero-Day-Sicherheitsproblem zu installieren. Der Manager bleibt auch aktiv, wenn der Nutzer sich gerade entschieden hat, ein fehlerhaftes Adobe-Produkt zu deinstallieren. Erst nach einem Neustart verschwindet die Software. Solch ein Szenario ist vor allem bei gezielten Angriffen denkbar und bei Nutzern, die ihre Rechner eher in einen Schlafmodus versetzen und nicht ständig herunterfahren.

Das Angriffsszenario sieht vor, dass das Opfer eine Webseite besucht, die den Adobe Download Manager durch einen Fehler startet. Dabei ist es etwa möglich, dem Nutzer aufzuzwingen, den Adobe Reader zu installieren, der gerade erst um zwei Sicherheitslücken mit der Version 9.3.1 erleichtert wurde. Auch McAffees Security Scan Plus, die Google Toolbar, Adobe Flash oder Adobe Reader 8 können so neben weiteren Paketen installiert werden, so Raff. Ob der Download Manager auf die fertigen Pakete zugreift, lässt Raff bisher offen. Er spricht allerdings davon, dass der Download Manager auf die aktuelle Version der Software zugreift. Ein aktuelles Ausnutzen dieser speziellen Sicherheitslücke dürfte damit ausgeschlossen sein. Allerdings gibt es noch eine weitere Sicherheitslücke.

Raff fand eigenen Angaben zufolge zudem eine Sicherheitslücke im Download Manager, die es Angreifern erlaubt, beliebigen Code auszuführen. Der Download Manager ist in der Lage, jedwede ausführbare Datei automatisch herunterzuladen, zu installieren und anschließend auszuführen. Technische Details zum Angriff will Raff allerdings erst veröffentlichen, wenn Adobe das Problem gelöst hat.

Golem Karrierewelt
  1. Cloud Competence Center: Strategien, Roadmap, Governance: virtueller Ein-Tages-Workshop
    06.10.2022, Virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    10./11.10.2022, Virtuell
Weitere IT-Trainings

Raff empfiehlt bis auf weiteres die Deinstallation des Adobe Download Managers. Auch rät er zum Entfernen der Firefox-Erweiterung.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


leser123456789 22. Feb 2010

Kann ich mir nicht vorstellen. Es gibt garantiert alternativen, nur setzt die wiedermal...

sicherheitslücken 19. Feb 2010

Schade das kaum wer BITS benutzt. Das ist für Schmalbander sehr angenehm und läuft und...

kopfschüttel1elf 19. Feb 2010

Simpel, schnell, sauber.



Aktuell auf der Startseite von Golem.de
Centaur CHA im Test
Der letzte x86-Prozessor seiner Art

Weil Centaur von Intel übernommen wurde, ist der CHA-Chip nie erschienen. Ein achtkerniger Prototyp gewährt dennoch spannende Einblicke.
Ein Test von Marc Sauter

Centaur CHA im Test: Der letzte x86-Prozessor seiner Art
Artikel
  1. Künstliche Intelligenz: Griechenland testet autonome Drohnenschwärme
    Künstliche Intelligenz
    Griechenland testet autonome Drohnenschwärme

    Trotz wiederholt dokumentierter Menschenrechtsverletzungen finanziert die EU neue Technologien zur Überwachung ihrer Außengrenze mit der Türkei.
    Von Matthias Monroy

  2. US-Whistleblower: Putin verleiht Snowden die russische Staatsbürgerschaft
    US-Whistleblower  
    Putin verleiht Snowden die russische Staatsbürgerschaft

    US-Whistleblower Edward Snowden ist nun auch russischer Staatsbürger. Für den Krieg gegen die Ukraine kann er aber vorerst nicht eingezogen werden.

  3. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, FIFA 23 PS5 59,99€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /