(Kein) Patch für Fehler in Adobes Download Manager

Nach Angaben von Adobe wird der Download Manager jeweils nur einmal geladen und erst bei einem Rechnerneustart wieder vom System entfernt. Wird der Rechner nicht heruntergefahren, sondern in den Schlafmodus versetzt, bleibt die Komponente also vergleichsweise lange unnötigerweise aktiv.

Der Fehler im Download Manager kann einem Nutzer ungewollt Software aufzwingen. So kann ein Angreifer den Download Manager dazu missbrauchen, ein fehlerhaftes Adobe-Produkt mit einem Sicherheitsproblem zu installieren. Der Manager bleibt auch aktiv, wenn der Nutzer sich entschieden hat, ein fehlerhaftes Adobe-Produkt zu deinstallieren. Das Angriffsszenario sieht vor, dass das Opfer eine Webseite besucht, die den Adobe Download Manager durch einen Fehler startet.

Für künftige Updates von den Adobe-Produkten Flash sowie Reader ist das Sicherheitsleck nun geschlossen. Allerdings müssen Nutzer manuell überprüfen, ob sie Opfer eines Angriffs geworden sind und dann bei Bedarf eingreifen. Eine automatische Überprüfung oder Reparatur des Systems bietet Adobe nicht an. Im nun veröffentlichten Security Bulletin beschreibt Adobe die Vorgehensweise in englischer Sprache.

Ein zweites Sicherheitsloch in Adobes Download Manager wurde noch nicht beseitigt. Angreifer können darüber beliebigen Code ausführen. Denn der Download Manager ist in der Lage, jedwede ausführbare Datei automatisch herunterzuladen, zu installieren und anschließend auszuführen. Nähere Details liegen dazu noch nicht vor und sollen erst veröffentlicht werden, wenn Adobe den Fehler beseitigt hat. Bis dahin wird empfohlen, den Download Manager vom System zu deinstallieren und Sicherheitsupdates manuell einzuspielen.