Categories: Sicherheit

Adobe bestätigt Zero-Day-Lücke im Adobe Download Manager

Adobe untersucht eine mögliche Zero-Day-Lücke im Adobe Download Manager (Adobe DLM). Nach Auskunft des Sicherheitsforschers Aviv Raff, der den Fehler entdeckt hat, kann ein Angreifer den Download-Manager missbrauchen, um eine automatische Installation von Adobe-Produkten oder auch Software von Drittanbietern zu starten.

Nach Herstellerangaben handelt es sich bei Adobe DLM um eine Software, die Updates für Adobe Reader und Flash Player bereitstellt. Sie nutzt SSL, MD5-Prüfsummen, Verschlüsselung und andere Methoden, um sicherzustellen, dass ein Anwender nur Original-Software von Adobe erhält.

Raff hat einem Blogeintrag zufolge einen Fehler gefunden, der ohne Zustimmung eines Anwenders eine Installation zum Beispiel von Adobe Flash 10, Reader 9.3 und 8.2, Air 1.5.3 sowie Google Toolbar 6.3 und McAfee Security Scan Plus ermöglicht. Der Sicherheitsforscher warnt davor, dass ein Angreifer eine dieser Anwendungen auch dann einspielen könne, wenn sie eine bekannte Schwachstelle enthalte.

Statt den Fehler zuzugeben, habe Adobe die Auswirkungen der Lücke heruntergespielt, schreibt Raff in einem weiteren Blogeintrag. Es sei zwar korrekt, dass sich der DLM nach der Installation eines Sicherheitsupdates mit dem nächsten Neustart wieder deinstalliere, bis dahin sei das System allerdings angreifbar. Außerdem erforderten die meisten Updates für Adobe-Produkte keinen Neustart.

Des Weiteren habe er eine zweite Lücke in Adobe DLM gefunden, die es erlaube, jedes beliebige ausführbare Programm einzuschleusen. „Wer auf die Adobe-Website geht, um ein Sicherheitsupdate für den Flash Player zu beziehen, setzt sich einem Zero-Day-Angriff aus“, so Raff weiter. Technische Details der Schwachstelle werde er zurückhalten, bis Adobe ein Update für den Download-Manager veröffentlicht habe.

Adobe will nach eigenen Angaben zusammen mit Raff und dem Drittanbieter, der Adobe DLM entwickelt hat, das Problem so schnell wie möglich lösen.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

6 Tagen ago