Akamai dlm vulnerability
[url=http://www.akamai.com/]Akamai[/url] speelt, zonder dat de meeste computeraars dit weten, een enorm belangrijke rol bij de distributie van software en -updates voor grote bedrijven als Adobe, Microsoft, McAfee, Symantec etc. (zie deze [url=http://www.akamai.com/html/customers/customer_list.html]Customer list[/url] voor een indruk). Het uitgebreide Akamai servernetwerk over de hele wereld zorgt ervoor dat grote bestanden altijd van een server 'in de buurt' worden gedownload.
Een aantal Akamai klanten gebruikt hiervoor Akamai's web-based download manager (dit geldt bijv. voor [url=http://kb.adobe.com/selfservice/viewContent.do?externalId=kb402065#AkDLMProducts]enkele Adobe producten[/url]), welke zowel als ActiveX als Java applet beschikbaar is.
[url=http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=695]iDefense[/url] heeft vandaag [url=http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/061929.html]bekendgemaakt[/url] dat Akamai's downloadmanager, zowel de ActiveX als de Java applet versies ouder dan 2.2.3.5 een kwetsbaarheid bevatten: middels twee ongedocumenteerde parameters kan elk willekeurig bestand worden gedownload en gestart, zonder tussenkomst van de gebruiker.
Interessant is dat iDefense m.b.t. DownloadManagerV2.ocx twee verschillende CLSID values noemt: 2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B en FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1. Die eerste CLSID zal bij de meesten reeds ge-kill-bit zijn door [url=http://www.microsoft.com/technet/security/Bulletin/MS07-045.mspx]MS07-045[/url] (zie de FAQ sectie), maar de tweede CLSID niet. Een kwetsbare dlm-activex-2.2.1.2.cab was zojuist nog te downloaden vanaf akamai.com, de inf en ocx files daarin bevatten uitsluitend die tweede CLSID. Ook dlm-java-2.2.2.0.jar kon ik nog gewoon downloaden. Het advies van iDefense is om beide CLSID's te [url=http://blogs.technet.com/swi/archive/2008/02/06/The-Kill_2D00_Bit-FAQ_3A00_-Part-1-of-3.aspx]killbitten[/url] en Java uit te schakelen.
Ik heb thuis een aantal PC's onderzocht, geen van allen had de ActiveX (downloadmanager*.ocx) of de Java variant (dlm-java*.jar) op de schijf staan. Zijn er onder jullie die dat wel hebben?
Weet iemand een handige methode om uitvoering van 1 specifieke Java applet te blokkeren zonder Java (niet te verwarren met JavaScript) geheel uit te moeten schakelen?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.