Adobe ha corretto una vulnerabilità potenzialmente grave nel suo Download Manager (ADM), lo strumento che in Windows permette agli utenti di scaricare Adobe Reader e Flash Player. Questa è la seconda patch dall’inizio dell’anno che Adobe rilascia per ADM.
In questo advisory l’azienda spiega che il bug, quando combinato ad una vulnerabilità nel sito di Adobe, può consentire ad un aggressore di installare programmi dannosi sul PC di un utente.
La falla è stata resa nota la scorsa settimana dal noto ricercatore Aviv Raff, che ha dimostrato come sia possibile utilizzare ADM per far scaricare ad un ignaro utente qualsiasi tipo di file eseguibile.
Nel suo advisory Raff sostiene che Adobe ha sottovalutato il problema, muovendosi con troppa inerzia. L’azienda si è difesa dichiarando che il suo download manager viene automaticamente disinstallato da Windows dopo ogni utilizzo. Come però ha ammesso la stessa Adobe, la completa disinstallazione del tool avviene solo al successivo riavvio del sistema: questo lascia ad un eventuale aggressore una finestra temporale piuttosto ampia in cui colpire.
ADM non va confuso con Adobe Updater, utilizzato dai prodotti dell’azienda statunitense per scaricare patch e aggiornamenti. ADM viene esclusivamente utilizzato per il download delle versioni complete di Flash Player e Adobe Reader da adobe.com .
Per assicurarsi che precedenti versioni del tool non siano rimaste annidate nel sistema, Adobe suggerisce ai propri utenti di cercare e, se presente, cancellare la cartella C:Program FilesNOS ed eliminare l’eventuale getPlus Helper dall’elenco dei servizi di sistema (per farlo è sufficiente eseguire services.msc dal prompt dei comandi o dal box esegui/ricerca del menù Start).
Nei giorni scorsi Adobe ha aggiornato anche Adobe Reader portandolo alla versione 9.3.1. La nuova versione corregge una vulnerabilità critica che può essere utilizzata a distanza per causare il crash dell’applicazione ed eseguire codice potenzialmente dannoso.
Alessandro Del Rosso