Neue Sicherheitsprobleme halten Adobes Entwickler weiterhin in Atem. Eine Lücke in Adobes Download Manager (DLM) lässt sich nach Angaben des israelischen Sicherheitsspezialisten Aviv Raff ausnutzen, um über eine präparierte Webseite beliebige Software auf einen Windows-Rechner zu installieren. Eigentlich sollte dies nur der von Adobe signierten Software vorbehalten sein und auch nur, wenn sie von Adobe-Seiten stammt. Durch einen oder mehrere Fehler ist es aber offenbar möglich, weitere Software auf den Rechner zu laden und zu starten. Raff hat dies nach eigenen Angaben mit einer eigenen Version des Windows-Taschenrechners geschafft.


Details zu der Lücke will Raff aber erst veröffentlichen, wenn Adobe sie geschlossen hat. Adobe hat das Problem bestätigt und arbeitet zusammen mit dem Sicherheitsspezialisten und dem eigentlichen Hersteller des Download Managers an einer Lösung. Ganz so einfach lässt sich die Lücke allerdings nicht ausnutzen, denn üblicherweise ist der DLM nicht fest auf einem System installiert. Er klinkt sich erst beim Aufruf etwa der Flash-Player-Seite als ActiveX-Control ein – was in den Standardeinstellungen des Internet Explorer aber eine Nachfrage beim Anwender um Erlaubnis provoziert. Zudem ist das Control nur bis zum nächsten Neustart des Windows-Rechners aktiv, danach ist es vom Rechner verschwunden. Für das Firefox-Plug-in gilt unter Windows ähnliches.

Solange der DLM jedoch beispielsweise nach der Installation oder dem Update des Flash Player aktiv ist, lassen sich weitere Adobe-Anwendungen auf dem Rechner installieren. Allerdings informiert der DLM den Anwender darüber, was er gerade herunterlädt und installiert. Für Letzteres fragt er unter Windows XP jedoch nicht um Erlaubnis, wie heise Security in einem kurzen Test festgestellt hat. Unter Windows 7 und Vista fragt immerhin die UAC nach, ob das erlaubt sei.

Laut Raff birgt dieser Automatismus des DLM weiteres Missbrauchspotenzial. Solange der DLM aktiv ist, könne ein Angreifer ein Opfer auf die Seite von Adobe umleiten, um ihnen dort das Plug-in für den Adobe Reader installieren zu lassen. Ist der Angreifer im Besitz eines Zero-Day-Exploits für den Reader, wie zuletzt bei der Schwachstelle im Dezember, könnte er im Anschluss die Lücke im Reader-Plug-in gleich ausnutzen, um den PC unter seine Kontrolle zu bekommen. Selbst Anwender, die aus Sicherheitsgründen das Plug-in des Foxit-Reader statt des Adobe Reader installiert haben, wären so plötzlich wieder angreifbar.