Akamai Download Manager ActiveX控件远程代码执行漏洞

2008-05-07T00:00:00
ID SSV:3257
Type seebug
Reporter Root
Modified 2008-05-07T00:00:00

Description

BUGTRAQ ID: 28993 CVE(CAN) ID: CVE-2007-6339

Akamai下载管理器是用于帮助用户方便下载的客户端软件。

Akamai下载管理器的DownloadManager控件没有正确地验证某些对象参数,远程攻击者可能利用此漏洞在用户机器上执行任意指令。

ActiveX控件版本标识如下:

类:DownloadManager Control CLSID:2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B CLSID:FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1 ProgId:MANAGER.DLMCtrl.1 文件:C:\Windows\Downloaded Program Files\DownloadManagerV2.ocx

Java版本标识如下:

类:com.akamai.dm.ui.applet.DMApplet.class JAR:dlm-java-2.2.2.0.jar

如果用户受骗访问了恶意网页,下载管理器就会自动下载并执行攻击者控制位置的任意二进制程序。

Akamai Download Manager < 2.2.3.5 Akamai


目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

<a href=http://dlm.tools.akamai.com/tools/upgrade.html target=_blank>http://dlm.tools.akamai.com/tools/upgrade.html</a>