Offene Sicherheitslücken im Adobe Download Manager

Problem vor allem bei auftretenden Zero-Day-Exploits. Adobe hat ein Problem mit seiner Softwareaktualisierung. Der Download Manager kann von einer beliebigen Webseite angestoßen werden, um Software zu installieren. Außerdem gibt es eine Möglichkeit, den Download Manager zum Ausführen von beliebigem Code zu bringen. Das Potenzial für gefährliche Angriffe ist recht hoch.

19. Februar 2010 um 10:29 Uhr / Andreas Sebayang

12 Kommentare News folgen (öffnet im neuen Fenster)

Im Adobe Download Manager steckt eine Sicherheitslücke, die in Kombination mit anderen Lücken gefährlich werden kann, berichtet der Sicherheitsforscher Aviv Raff in seinem Blog(öffnet im neuen Fenster) . Adobe bestätigt(öffnet im neuen Fenster) , dass es hier ein Problem gibt und will sowohl mit Aviv Raff als auch dem Dritthersteller einer Softwarekomponente zusammenarbeiten, die im Download Manager das Sicherheitsproblem auslöst.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Architekt/in (w/m/d) mit Schwerpunkt Data Engineering IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)

Softwareentwickler SAP (m/w/d) naturenergie hochrhein AG, Rheinfelden (Baden) (öffnet im neuen Fenster)

Actuarial Data Scientist / Aktuar:in / Mathematiker:in im Pricing (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

AI Solution Consultant (all genders) Porsche Consulting GmbH, München,Berlin,Stuttgart,Hamburg (öffnet im neuen Fenster)

Senior Softwareentwickler (m/w/d) SIEB & MEYER AG, Lüneburg (öffnet im neuen Fenster)

Leitung des Servicebündel Beratung (m/w/d) Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf (öffnet im neuen Fenster)

Leitung der Abteilung Kaufmännisches Gebäude-Management (m/w/d) Klinik-Technik-GmbH am Universitätsklinikum Heidelberg, Heidelberg (öffnet im neuen Fenster)

Sales Manager für intelligente Prozessautomatisierung / Neukundengewinnung (m/w/d) MERENTIS GmbH, Bremen (öffnet im neuen Fenster)

Der Download Manager ist eigentlich dafür gedacht, Adobe-Produkte auf dem aktuellen Stand zu halten und so Sicherheitslücken automatisch für den Anwender zu schließen. Durch einen Fehler ist es allerdings möglich, mit dem Download Manager dem Nutzer Software aufzuzwingen. So kann ein aktiver Download Manager dazu genutzt werden, ein fehlerhaftes Adobe-Produkt mit einem Zero-Day-Sicherheitsproblem zu installieren. Der Manager bleibt auch aktiv, wenn der Nutzer sich gerade entschieden hat, ein fehlerhaftes Adobe-Produkt zu deinstallieren. Erst nach einem Neustart verschwindet die Software. Solch ein Szenario ist vor allem bei gezielten Angriffen denkbar und bei Nutzern, die ihre Rechner eher in einen Schlafmodus versetzen und nicht ständig herunterfahren.

Das Angriffsszenario sieht vor, dass das Opfer eine Webseite besucht, die den Adobe Download Manager durch einen Fehler startet. Dabei ist es etwa möglich, dem Nutzer aufzuzwingen, den Adobe Reader zu installieren, der gerade erst um zwei Sicherheitslücken mit der Version 9.3.1 erleichtert wurde . Auch McAffees Security Scan Plus, die Google Toolbar, Adobe Flash oder Adobe Reader 8 können so neben weiteren Paketen installiert werden, so Raff. Ob der Download Manager auf die fertigen Pakete zugreift, lässt Raff bisher offen. Er spricht allerdings davon, dass der Download Manager auf die aktuelle Version der Software zugreift. Ein aktuelles Ausnutzen dieser speziellen Sicherheitslücke dürfte damit ausgeschlossen sein. Allerdings gibt es noch eine weitere Sicherheitslücke.

Raff fand eigenen Angaben zufolge zudem eine Sicherheitslücke im Download Manager, die es Angreifern erlaubt, beliebigen Code auszuführen. Der Download Manager ist in der Lage, jedwede ausführbare Datei automatisch herunterzuladen, zu installieren und anschließend auszuführen. Technische Details zum Angriff will Raff allerdings erst veröffentlichen, wenn Adobe das Problem gelöst hat.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)