Vulnerabilidad en Adobe Download Manager

---

Se ha anunciado una vulnerabilidad en Adobe Download Manager (anterior

al 23 de febrero de 2010) que podría ser empleada por atacantes remotos

para lograr el compromiso de los sistemas afectados. El fallo en

realidad, se encuentra en su componente NOS, creado por otro fabricante.



El fallo está en getPlus Download Manager de NOS, usado por, entre otras

compañías, Adobe en el componente Adobe Download Manager. GetPlus

Downloader se instala en forma de ActiveX. Adobe lo usa para facilitar

la instalación de Adobe Reader a través de Internet Explorer.



Adobe Download Manager se instala por defecto al descargar Adobe Reader

o Flash para Windows desde el sitio web de Adobe, pero de igual forma se

desinstala automáticamente tras el siguiente reinicio del ordenador. La

corta permanencia de este producto en los sistemas, ha sido sin duda la

causa por la que seguramente ha pasado desapercibido a la hora de

encontrar nuevas vulnerabilidades.



El problema se debe a un error al procesar URLs, de tal forma que un

atacante remoto podría emplearlo para descargar e instalar software no

autorizado en el sistema vulnerable. Para ellos debería engañar al

usuario a acceder a un enlace especialmente construido o visitar una

página web maliciosa.



En caso de haber realizado una instalación de Reader o Flash anterior al

día 23 de febrero se recomienda reiniciar los sistemas (en caso de no

haberlo hecho) o desinstalar manualmente Adobe Download Manager según se

indica en el boletín publicado por Adobe:

http://www.adobe.com/support/security/bulletins/apsb10-08.html

http://www.hispasec.com/unaaldia/4140









Comentario:

Se va confirmando lo indicado en http://www.zonavirus.com/noticias/2010/adobe-concentra-el-98-de-todos-los-ataques-a-software-del-mundo.asp, y recomendamos obrar en consecuencia segun se indica en el último párrafo.



saludos



ms, 25-2-2010