Adobe bestätigt Zero-Day-Lücke im Adobe Download Manager

Adobe untersucht eine mögliche Zero-Day-Lücke im Adobe Download Manager (Adobe DLM). Nach Auskunft des Sicherheitsforschers Aviv Raff, der den Fehler entdeckt hat, kann ein Angreifer den Download-Manager missbrauchen, um eine automatische Installation von Adobe-Produkten oder auch Software von Drittanbietern zu starten.

Nach Herstellerangaben handelt es sich bei Adobe DLM um eine Software, die Updates für Adobe Reader und Flash Player bereitstellt. Sie nutzt SSL, MD5-Prüfsummen, Verschlüsselung und andere Methoden, um sicherzustellen, dass ein Anwender nur Original-Software von Adobe erhält.

Raff hat einem Blogeintrag zufolge einen Fehler gefunden, der ohne Zustimmung eines Anwenders eine Installation zum Beispiel von Adobe Flash 10, Reader 9.3 und 8.2, Air 1.5.3 sowie Google Toolbar 6.3 und McAfee Security Scan Plus ermöglicht. Der Sicherheitsforscher warnt davor, dass ein Angreifer eine dieser Anwendungen auch dann einspielen könne, wenn sie eine bekannte Schwachstelle enthalte.

Statt den Fehler zuzugeben, habe Adobe die Auswirkungen der Lücke heruntergespielt, schreibt Raff in einem weiteren Blogeintrag. Es sei zwar korrekt, dass sich der DLM nach der Installation eines Sicherheitsupdates mit dem nächsten Neustart wieder deinstalliere, bis dahin sei das System allerdings angreifbar. Außerdem erforderten die meisten Updates für Adobe-Produkte keinen Neustart.

Des Weiteren habe er eine zweite Lücke in Adobe DLM gefunden, die es erlaube, jedes beliebige ausführbare Programm einzuschleusen. „Wer auf die Adobe-Website geht, um ein Sicherheitsupdate für den Flash Player zu beziehen, setzt sich einem Zero-Day-Angriff aus“, so Raff weiter. Technische Details der Schwachstelle werde er zurückhalten, bis Adobe ein Update für den Download-Manager veröffentlicht habe.

Adobe will nach eigenen Angaben zusammen mit Raff und dem Drittanbieter, der Adobe DLM entwickelt hat, das Problem so schnell wie möglich lösen.