研究人员揭露Adobe下载管理工具漏洞

　　研究人员Aviv Raff上周揭露了Adobe下载管理工具(Adobe Download Manager，Adobe DLM)的漏洞，指称该漏洞可能让使用者在不知情的状态下下载及安装软件。

　　Adobe DLM是一个小型的应用程序，主要用来传送Adobe最受欢迎的Adobe Reader及Adobe Flash Player等两项产品。根据Adobe的说明，Adobe DLM采用SSL及MD 5等安全机制，得以确保使用者所要求的软体是自Adobe。

　　但Raff指出，这代表网站可以强迫任何安装Adobe DLM的使用者在造访该站时自动下载及安装下列软体，包括Adobe Flash 10、Adobe Reader 9.3、Adobe Reader 8.2、Adobe Air 1.5.3、ARH tool、 Google Toolbar 6.3、McAfee Security Scan Plus、New York Times Reader、Fanbase及Acrobat.com桌面捷径等。

　　虽然上述都是来自Adobe或是由Adobe取得散布授权的软件，但Raff的考量在于，倘若使用者原本安装的是其他的PDF阅读装置，但骇客仍然可以强迫使用者下载及安装有漏洞且尚未修补的Adobe Reader或其他产品，并趁机攻击。

　　除了Adobe DLM机制上的漏洞外，Raff在随后的文章中指出，发现另一个潜藏于Adobe DLM中的远端程式执行漏洞，使黑客能够强迫自动下载及安装任何执行程序，让Adobe DLM更具风险。

　　Raff已知会Adobe相关问题，Adobe上周表示，正与Raff及提供该下载工具的第三方厂商共同调查及解决此事，惟迄今尚未有进一步的更新或说明。

　　Raff建议IE使用者可以透过新增或移除程式功能删除Adobe DLM，而Firefox用户则可关闭或移除Adobe DLM扩充程序。