A Adobe soltou nesta quarta-feira (24/2) uma correção para uma vulnerabilidade crítica no Download Manager, utilitário do Windows usado para baixar os dois mais populares produtos da empresa, o Adobe Reader e o Flash Player.

A falha “potencialmente permite a crackers baixarem e instalarem softwares sem autorização no sistema do usuário”, reconheceu a Adobe em um boletim de segurança.

O pesquisador de segurança israelense Aviv Raff divulgou a vulnerabilidade na última semana, quando disse que crackers poderiam usar o Download Manager para instalar qualquer arquivo executável, incluindo códigos de ataque.

“Se você for para o site da Adobe instalar uma atualização de segurança para o Flash, você ficará exposto a um ataque dia-zero”, disse Raff.

O Download Manager não é o mecanismo de atualização do Reader e do Flash Player – esse é o Adobe Updater – mas é quem gerencia a transferência de arquivos do site da Adobe.

Entre outras coisas, o gerenciador resume downloads interrompidos e enfileira múltiplos arquivos para serem baixados. O utilitário não é um produto da Adobe, mas uma versão modificada do getPlus+, licenciado da NOS Microsystems.

Mesmo que o Download Manager seja removido do Windows quando o sistema é reiniciado, Raff disse que ainda representa danos pois muitas máquinas ficam ligadas durante dias e semanas antes de serem desligadas.

“A Adobe recomenda aos usuários verificarem se a versão vulnerável do Adobe Download Manager não está instalada em suas máquinas”, disse a empresa no boletim.

Os passos que a Adobe recomenda que sejam feitos incluem procurar no disco rígido por uma pasta “C:\Program Files\NOS\” ou entrar “services.msc” em uma linha de comando do Windows, depois deletar o “getPlus Helper’ da lista.

Usuários não precisam mexer no Reader ou no Flash Player, disse a Adobe, já que a vulnerabilidade não afeta os programas.