2010年2月26日 星期五

[iThome]研究人員揭露Adobe下載管理工具漏洞


研究人員揭露Adobe下載管理工具漏洞

Raff擔心,既使使用者原本安裝的是其他的PDF閱讀裝置,駭客仍然可以強迫使用者下載及安裝有漏洞且尚未修補的Adobe Reader或其他產品,並趁機攻擊。

研究人員Aviv Raff上周揭露了Adobe下載管理工具(Adobe Download Manager,Adobe DLM)的漏洞,指稱該漏洞可能讓使用者在不知情的狀態下下載及安裝軟體。

Adobe DLM是一個小型的應用程式,主要用來傳送Adobe最受歡迎的Adobe Reader及Adobe Flash Player等兩項產品。根據Adobe的說明,Adobe DLM採用SSL及MD 5等安全機制,得以確保使用者所要求的軟體是自Adobe。

但Raff指出,這代表網站可以強迫任何安裝Adobe DLM的使用者在造訪該站時自動下載及安裝下列軟體,包括Adobe Flash 10、Adobe Reader 9.3、Adobe Reader 8.2、Adobe Air 1.5.3、ARH tool、Google Toolbar 6.3、McAfee Security Scan Plus、New York Times Reader、Fanbase及Acrobat.com桌面捷徑等。

雖然上述都是來自Adobe或是由Adobe取得散布授權的軟體,但Raff的考量在於,倘若使用者原本安裝的是其他的PDF閱讀裝置,但駭客仍然可以強迫使用者下載及安裝有漏洞且尚未修補的Adobe Reader或其他產品,並趁機攻擊。

除了Adobe DLM機制上的漏洞外,Raff在隨後的文章中指出,發現另一個潛藏於Adobe DLM中的遠端程式執行漏洞,使駭客能夠強迫自動下載及安裝任何執行程式,讓Adobe DLM更具風險。

Raff已知會Adobe相關問題,Adobe上周表示,正與Raff及提供該下載工具的第三方業者共同調查及解決此事,惟迄今尚未有進一步的更新或說明。

Raff建議IE使用者可以透過新增或移除程式功能刪除Adobe DLM,而Firefox用戶則可關閉或移除Adobe DLM擴充程式。(編譯/陳曉莉) 

相關文章 :

0 意見: