A Adobe soltou nesta quarta-feira (24/2) uma correção para uma vulnerabilidade crítica no Download Manager, utilitário do Windows usado para baixar os dois mais populares produtos da empresa, oAdobe Reader e o Flash Player.
A falha “potencialmente permite a crackers baixarem e instalarem softwares sem autorização no sistema do usuário”, reconheceu a Adobe em um boletim de segurança.
O pesquisador de segurança israelense Aviv Raff divulgou a vulnerabilidade na última semana, quando disse que crackers poderiam usar o Download Manager para instalar qualquer arquivo executável, incluindo códigos de ataque.
“Se você for para o site da Adobe instalar uma atualização de segurança para o Flash, você ficará exposto a um ataque dia-zero”, disse Raff.
O Download Manager não é o mecanismo de atualização do Reader e do Flash Player – esse é o Adobe Updater – mas é quem gerencia a transferência de arquivos do site da Adobe.
Entre outras coisas, o gerenciador resume downloads interrompidos e enfileira múltiplos arquivos para serem baixados. O utilitário não é um produto da Adobe, mas uma versão modificada do getPlus+, licenciado daNOS Microsystems.
Mesmo que o Download Manager seja removido do Windows quando o sistema é reiniciado, Raff disse que ainda representa danos pois muitas máquinas ficam ligadas durante dias e semanas antes de serem desligadas.
“A Adobe recomenda aos usuários verificarem se a versão vulnerável do Adobe Download Manager não está instalada em suas máquinas”, disse a empresa no boletim.
Os passos que a Adobe recomenda que sejam feitos incluem procurar no disco rígido por uma pasta “C:\Program Files\NOS\” ou entrar “services.msc” em uma linha de comando do Windows, depois deletar o “getPlus Helper’ da lista.
Usuários não precisam mexer no Reader ou no Flash Player, disse a Adobe, já que a vulnerabilidade não afeta os programas.
