Sicherheitsloch im Akamai Download Manager
Ursache des Problems sind Buffer Overflows in der ActiveX-Variante des Akamai Download Manager. Zahlreiche Anwender dürften sich das fragliche ActiveX-Control etwa beim Herunterladen des Release Candidate 1 von Windows Vista installiert haben.
- Daniel Bachfeld
Der Dienstleister für das Load-Balancing im Web und die Verteilung von Online-Inhalten Akamai hat in einem Fehlerbericht auf zwei Sicherheitslücken in seinem Download-Manager hingewiesen. Durch sie können Angreifer einen Windows-Rechner unter ihre Kontrolle bringen. Ursache des Problems sind Buffer Overflows in der ActiveX-Variante des "Akamai Download Manager" (DownloadManagerV2.ocx) für den Internet Explorer, mit dem sich Schadcode auf den Rechner schleusen und starten lässt. Das Opfer muss dazu nur eine präparierte Webseite besuchen.
Zahlreiche Anwender dürften sich das fragliche ActiveX-Control etwa beim Herunterladen des Release Candidate 1 oder der Beta 2 von Windows Vista installiert haben, die Microsoft damals bevorzugt über diesen Weg zur Verfügung stellte. Für alternative Browser stand auch die Java-Version des Download-Managers zur Verfügung, die keine Schwachstelle aufweist.
Laut Akamai findet sich einer der Fehler in allen Versionen vor 2.2.1.0. Der zweite Fehler kam erst ab Version 2.0.4.5 hinzu. In Version 2.2.1.0 sind die Fehler behoben. Um die neue Version zu installieren, genügt es nach Angaben von Akamai, die Update-Seite des Controls zu besuchen. Anschließend wird das neue Control zur Installation angeboten. Ob das fragliche Control überhaupt installiert ist, lässt sich durch einen Blick in C:\Windows\Downloaded Program Files\ feststellen.
Siehe dazu auch:
- Akamai Technologies Security Advisory 2007-0001, Fehlerbericht von Akamai
- Akamai Download Manager ActiveX Stack Buffer Overflow Vulnerability, Fehlerbericht von iDefense
(dab)
