Adobe schließt Lücke im Download Manager
Adobes Update beseitigt eine Lücke, durch die präparierte Webseiten Software auf einen Windows-Rechner installieren können. Zudem wurde bekannt, das Adobe in der aktuellen Reader-Version eine vier Jahre alte Lücke geschlossen hat.
- Daniel Bachfeld
Adobe hat eine Sicherheitslücke im Download Manager (DLM) geschlossen, durch die präparierte Webseiten beliebige Software auf einen Windows-Rechner installieren können. Das Problem war Ende der vergangenen Woche bekannt geworden. Die Lösung des Problems hat damit zwar nicht mal eine Woche gedauert, allerdings kann man diesen Erfolg nicht wirklich Adobes Entwickler zu Gute schreiben, denn der eigentliche Hersteller des DLM ist NOS Micro. Der ist allerdings auch für den Fehler verantwortlich; Adobe nutzt dessen getPlus-Browser-Plug-ins für den DLM.
Normalerweise sollten die Plug-ins nur unmittelbar nach der Installation des Flash Player oder des Reader über Adobes Seiten auf dem Windows-Rechner zu finden und nach dem Neustart des Systems verschwunden sein. Die Plug-ins werden nur bei Bedarf als ActiveX-Control im Internet Explorer oder als Addon im Firefox installiert. Adobe empfiehlt aber trotzdem, das System auf die Präsenz des DLM zu untersuchen. Anleitungen zum Aufspüren und zum Entfernen hält Adobe in seinem Fehlerbericht bereit.
Apropos Updates: Der Sicherheitsdienstleister Secunia berichtet in seinem Blog, dass die neue Version des Adobe Reader 9.3.1 eine seit vier Jahren bekannte Schwachstelle in der Bibliothek libtiff beseitigt. Ein Exploit für die alte Lücke hätte sogar in der Version 9.3.0 funktioniert. Ob es sich bei dem Leck um die nicht näher beschriebene Lücke des letzten Fehlerberichts handelt oder eine heimlich geschlossene, ist unklar.
Siehe dazu auch:
- Zwei kritische Lücken in Adobe Reader und Acrobat geschlossen
- Sicherheitsprobleme in Adobe Download Manager
(dab)
