Vulnerabilidad en Adobe Download Manager

Se ha anunciado una vulnerabilidad en Adobe Download Manager (anterior
al 23 de febrero de 2010) que podría ser empleada por atacantes remotos
para lograr el compromiso de los sistemas afectados. El fallo en
realidad, se encuentra en su componente NOS, creado por otro fabricante.

El fallo está en getPlus Download Manager de NOS, usado por, entre otras
compañías, Adobe en el componente Adobe Download Manager. GetPlus
Downloader se instala en forma de ActiveX. Adobe lo usa para facilitar
la instalación de Adobe Reader a través de Internet Explorer.

Adobe Download Manager se instala por defecto al descargar Adobe Reader
o Flash para Windows desde el sitio web de Adobe, pero de igual forma se
desinstala automáticamente tras el siguiente reinicio del ordenador. La
corta permanencia de este producto en los sistemas, ha sido sin duda la
causa por la que seguramente ha pasado desapercibido a la hora de
encontrar nuevas vulnerabilidades.

El problema se debe a un error al procesar URLs, de tal forma que un
atacante remoto podría emplearlo para descargar e instalar software no
autorizado en el sistema vulnerable. Para ellos debería engañar al
usuario a acceder a un enlace especialmente construido o visitar una
página web maliciosa.

En caso de haber realizado una instalación de Reader o Flash anterior al
día 23 de febrero se recomienda reiniciar los sistemas (en caso de no
haberlo hecho) o desinstalar manualmente Adobe Download Manager según se
indica en el boletín publicado por Adobe:
http://www.adobe.com/support/security/bulletins/apsb10-08.html
 Fuente

Comentario:
Se va confirmando lo indicado en https://blog.satinfo.es/?p=2879, y recomendamos obrar en consecuencia segun se indica en el último párrafo.

saludos

ms, 25-2-2010