martes, 23 de febrero de 2010

Vulnerabilidad en Adobe Download Manager

Se ha anunciado una vulnerabilidad en Adobe Download Manager (anterior al 23 de febrero de 2010) que podría ser empleada por atacantes remotos para lograr el compromiso de los sistemas afectados. El fallo en
realidad, se encuentra en su componente NOS, creado por otro fabricante.

El fallo está en getPlus Download Manager de NOS, usado por, entre otras compañías, Adobe en el componente Adobe Download Manager. GetPlus Downloader se instala en forma de ActiveX. Adobe lo usa para facilitar la instalación de Adobe Reader a través de Internet Explorer.

Adobe Download Manager se instala por defecto al descargar Adobe Reader o Flash para Windows desde el sitio web de Adobe, pero de igual forma se desinstala automáticamente tras el siguiente reinicio del ordenador. La corta permanencia de este producto en los sistemas, ha sido sin duda la causa por la que seguramente ha pasado desapercibido a la hora de encontrar nuevas vulnerabilidades.

El problema se debe a un error al procesar URLs, de tal forma que un atacante remoto podría emplearlo para descargar e instalar software no autorizado en el sistema vulnerable. Para ellos debería engañar al usuario a acceder a un enlace especialmente construido o visitar una página web maliciosa.

En caso de haber realizado una instalación de Reader o Flash anterior al día 23 de febrero se recomienda reiniciar los sistemas (en caso de no haberlo hecho) o desinstalar manualmente Adobe Download Manager según se indica en el boletín publicado por Adobe:
http://www.adobe.com/support/security/bulletins/apsb10-08.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security update available for Adobe Download Manager
http://www.adobe.com/support/security/bulletins/apsb10-08.html

No hay comentarios:

Publicar un comentario en la entrada