Een lek in de Adobe Download Manager waardoor hackers lekke Adobe software op systemen kunnen plaatsen om vervolgens te misbruiken, is volgens het bedrijf helemaal niet zo ernstig. De Israëlische beveiligingsonderzoeker Aviv Raff demonstreerde maandag hoe aanvallers de tool die Adobe standaard aanbiedt, gedwongen kan worden om aanvullende Adobe software te downloaden. Wie bijvoorbeeld een alternatieve PDF-lezer gebruikt, maar wel Flash Player geïnstalleerd heeft, loopt zo kans om toch Adobe Reader op het systeem te krijgen.

"In plaats van toe te geven dat deze ontwerpfout inderdaad een probleem is dat aanvallers kunnen misbruiken, besloot Adobe het probleem te bagatelliseren", aldus Raff. In een reactie liet het bedrijf weten dat de Download Manager slechts één keer wordt gebruikt en zichzelf daarna verwijdert. Verder kan de tool alleen de laatste software versies van Adobe.com downloaden en toont het een groot scherm aan gebruikers.

Herstarten
"Ik denk dat ze hier het hele punt missen", merkt de onderzoeker op. Hij geeft toe dat de Download Manager zichzelf verwijdert na het herstarten van de computer, maar gebruikers die bijvoorbeeld Flash Player updaten, dit niet hoeven te doen. Totdat deze gebruikers hun computer herstarten, lopen ze risico. Daarnaast komt het regelmatig voor dat er zero-day lekken in Adobe's software worden aangetroffen. Wat betreft het dialoogvenster is het volgens Raff eenvoudig: "Net alsof dit iets uitmaakt voor een aanvaller die kwaadaardige software op je machine wil plaatsen."

Echt lek
Op dezelfde dag dat hij het probleem met de Download Manager onthulde, ontdekte hij nog een beveiligingslek in de software. Daardoor kan een aanvaller elk willekeurig bestand automatisch downloaden en installeren. "Als je naar Adobe's website gaat en een beveiligingsupdate voor Flash installeert, stel je jezelf bloot aan een zero-day aanval." Raff zal pas details prijsgeven als Adobe het lek dicht. "Ik hoop dat Adobe dit lek ook niet zal bagatelliseren." Het is niet de eerste keer dat een groot softwarebedrijf een probleem in de eigen software probeert te bagatelliseren. "Microsoft, Apple en zelfs Mozilla hebben zich hier in het verleden allemaal schuldig aan gemaakt, en nu heeft ook Adobe zich hierbij aangesloten."