发布日期：2007-04-16
更新日期：2007-04-17

受影响系统：

Akamai Download Manager < 2.2.1.0

不受影响系统：

Akamai Download Manager 2.2.1.0

描述：

---

BUGTRAQ  ID: 23522
CVE(CAN) ID: CVE-2007-1891,CVE-2007-1892

Akamai Download Manager是用于帮助用户方便下载的客户端软件。

Akamai Download Manager的DownloadManager控件实现上存在缓冲区溢出漏洞，远程攻击者可能利用此漏洞控制用户机器。

ActiveX控件相关的信息：

  类：DownloadManager Control
  CLSID：2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B
  ProgId：MANAGER.DLMCtrl.1.
  文件：C:\Windows\Downloaded Program Files\DownloadManagerV2.ocx

控件没有正确使用GetPrivateProfileSectionW函数，nSize参数错误地传送了可用字节的总数而不是可用宽字符的数目，导致栈溢出。

<*来源：iDEFENSE
  
  链接：http://lists.grok.org.uk/pipermail/full-disclosure/2007-April/053794.html
        http://secunia.com/advisories/24900/
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=514
*>

建议：

---

临时解决方法：

* 在IE中为受影响的控件设置kill-bit。

厂商补丁：

Akamai
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://dlm.tools.akamai.com/tools/upgrade.html

浏览次数：3262
严重程度：0（网友投票）