发布日期：2008-04-30
更新日期：2008-05-04

受影响系统：

Akamai Download Manager < 2.2.3.5

不受影响系统：

Akamai Download Manager 2.2.3.5

描述：

---

BUGTRAQ  ID: 28993
CVE(CAN) ID: CVE-2007-6339

Akamai下载管理器是用于帮助用户方便下载的客户端软件。

Akamai下载管理器的DownloadManager控件没有正确地验证某些对象参数，远程攻击者可能利用此漏洞在用户机器上执行任意指令。

ActiveX控件版本标识如下：

  类：DownloadManager Control
  CLSID：2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B
  CLSID：FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1
  ProgId：MANAGER.DLMCtrl.1
  文件：C:\Windows\Downloaded Program Files\DownloadManagerV2.ocx

Java版本标识如下：

  类：com.akamai.dm.ui.applet.DMApplet.class
  JAR：dlm-java-2.2.2.0.jar

如果用户受骗访问了恶意网页，下载管理器就会自动下载并执行攻击者控制位置的任意二进制程序。

<*来源：Peter Vreugdenhil
  
  链接：http://secunia.com/advisories/30037/
        http://marc.info/?l=full-disclosure&m=120959680504645&w=2
        http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=695
*>

建议：

---

厂商补丁：

Akamai
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://dlm.tools.akamai.com/tools/upgrade.html

浏览次数：3354
严重程度：0（网友投票）