Akamai-Download-Manager führt Schadcode aus
Durch eine Sicherheitslücke im Download-Manager des Bandbreitenlieferanten Akamai können Angreifer mit präparierten Webseiten, E-Mails oder Instant-Messenger-Nachrichten beliebigen Programmcode auf den Rechner von Opfern herunterladen und ausführen.
Der Load-Balancing- und Bandbreitenexperte Akamai bietet auch einen Download-Manager an, mit dem Anwender Dateien von den Servern des Unternehmens herunterladen können. Durch eine Sicherheitslücke sowohl in der ActiveX- als auch in der Java-Variante können Angreifer mit manipulierten Links etwa in Webseiten, E-Mails oder Instant-Messenger-Nachrichten jedoch beliebige Programme wie Trojaner herunterladen und automatisch ausführen lassen.
Der Sicherheitsdienstleister iDefense hat in der Software zwei undokumentierte Parameter aufgespürt, mit denen Angreifer den automatischen Download und anschließend das ebenfalls automatische Ausführen der Datei anstoßen können. Zwar werde das Download-Fenster angezeigt, es verschwindet laut iDefense jedoch bei den üblicherweise kleinen Schädlings-Downloads zu schnell, um die Infektion des Systems zu verhindern.
Laut der Sicherheitsmeldung ist das ActiveX-Modul DownloadManagerV2.ocx mit den ClassIDs 2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B sowie FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1 in Version 2.2.2.1 von der Schwachstelle betroffen. Zudem enthält die Java-Klasse com.akamai.dm.ui.applet.DMApplet.class aus dem Java-Archiv dlm-java-2.2.2.0.jar den Fehler ebenfalls. iDefense geht jedoch davon aus, dass alle Versionen vor der inzwischen aktuellen Fassung 2.2.3.5 den Fehler enthalten.
Akamai hat auf einer Webseite die aktuellen Versionen bereitgestellt, die beim Besuch der Webseite installiert werden. Nutzer der Akamai-Download-Software sollten entweder umgehend das Update einspielen oder den Java-Downloader deinstallieren sowie das Killbit für die ActiveX-Komponente setzen. Ein Knowledgebase-Artikel von Microsoft gibt dabei Hilfestellung. Aufgrund der zahlreichen Sicherheitslücken in ActiveX-Modulen sollten Nutzer des Internet Explorers jedoch besser ActiveX gleich ganz deaktivieren.
Siehe dazu auch:
- Akamai Download Manager Arbitrary Program Execution Vulnerability, Sicherheitsmeldung von iDefense
- Akamai-Webseite zum Update des Downloaders
(dmk)
