发布日期：2010-02-18
更新日期：2010-02-25

受影响系统：

Adobe Download Manager
NOS Microsystems getPlus Download Manager 1.5.2.35
NOS Microsystems getPlus Download Manager 1.2.2.50

描述：

---

BUGTRAQ  ID: 38313
CVE(CAN) ID: CVE-2010-0189

getPlus下载管理器是用于通过浏览器下载、安装和升级其他软件的管理工具。

getPlus下载管理器没有正确地验证用于下载和执行应用程序所在的域，有漏洞的代码假设所验证的域是一个子域，在对比有效域和所请求域时可能或导致逻辑错误。错误的域验证可能导致用户向系统上下载并安装恶意软件。

<*来源：Yorick Koster
  
  链接：http://secunia.com/advisories/38729/
        http://aviv.raffon.net/2010/02/18/SkeletonsInAdobesSecurityCloset.aspx
        http://www.adobe.com/support/security/bulletins/apsb10-08.html
        http://marc.info/?l=bugtraq&m=126722103012645&w=2
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=856
*>

建议：

---

临时解决方法：

* 为CLSID CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7设置kill bit。

厂商补丁：

Adobe
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.adobe.com

NOS Microsystems
----------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://www.nosltd.com/get.html

浏览次数：2773
严重程度：0（网友投票）