• Tweet

La empresa incita a los usuarios de Windows a la búsqueda de fallas en Adobe Download Manager.

El día de hoy Adobe parchó una vulnerabilidad crítica en las utlidades de Windows que éste emplea para descargar dos productos de la compañía más populares: Adobe Reader y Flash Player.

Es la segunda vez en las últimas seis semanas que Adobe arregla una falla en el Download Manager, el programa se instala en los equipos cuando los clientes descargan Reader o Flash Player.

[El proveedor de Seguridad de McAfee predice que Flash y Acrobat Reader de Adobe se convertirán en el blanco predilecto de los hackers en 2010]

Adobe reconoció el error en un asesoramiento, "potencialmente permitió a un(os) atacante(s) descargar(an) e instalar(an) software no autorizado en el sistema del usuario."

El investigador israelí de seguridad de Aviv Raff, divulgó la vulnerabilidad la semana pasada, cuando dijo que los atacantes pueden utilizar el Administrador de descargas para forzar descargas e instalar cualquier archivo ejecutable, incluyendo el código de ataque.

"Si usted va al sitio web de Adobe para instalar una actualización de seguridad para Flash, realmente exponerse a un ataque de día cero", dijo Raff.

Download Manager no es el mecanismo de actualización para Reader y Flash Player - que es llamado Adobe Updater -, sino que supervisa las transferencias de archivos desde el sitio de Adobe.

Entre otras cosas, el gerente reanuda descargas interrumpidas y las colas de varios archivos para descargar. La utilidad no es un producto de Adobe, sino más bien una versión personalizada de getPlus +, con licencia de Microsystems NOS.

Aunque Download Manager es automáticamente eliminado de un equipo con Windows, la próxima vez que la máquina se reinicia, Raff dice que aún representan un peligro ya que algunos de ellos permanecen encendidos durante días o incluso semanas entre reinicios.

"Adobe recomienda a los usuarios comprobar que una versión potencialmente vulnerable del gestor de descargas de Adobe ya no está instalado en su máquina," dijo Adobe en el asesoramiento.

Los pasos involucrados que Adobe instó a realizar son: Buscar en el disco duro "C: Archivos de programa NOS carpeta", o entrar en "services.msc" en una línea de comandos de Windows, buscar y surpimir el archivo "getPlus Helper" de la lista resultante.

Los usuarios no necesitan tomar ninguna acción con Reader o Flash Player, dijo Adobe, debido a que la vulnerabilidad no afecta a ninguno de los programas.

Esta no es la primera vez que un componente Download Manager requiere de parches. Uno de los seis fallos críticos que Adobe parchó en Reader y Acrobat el mes pasado fue el del control de los microsistemas NOS ActiveX de Internet Explorer que permite utilizar Download Manager. La vulnerabilidad se ha informado a Adobe el pasado noviembre por Will Dormann, un investigador en el Centro de Coordinación CERT.