Microsoft patcht Java-Loch des Internet Explorer
Gegen Sicherheitsloch im Internet Explorer im Zusammenspiel mit Microsofts eigener Java-Implementierung stellt der Softwarekonzern nun ein Update bereit. Er wird allerdings bisher nicht automatisch verteilt.
Gegen die vergangene Woche gemeldete Schwachstelle im Internet Explorer stellt Microsoft nun ein Update bereit. Durch einen Fehler im COM-Objekt Javaprxy.dll ist es einer präparierten Webseite möglich, volle Kontrolle über ein System zu erlangen -- zumindest wenn der Anwender als Administrator angemeldet ist. Es genügt dazu, dass der Anwender die Webseite aufruft.
Das COM-Objekt gehört zu Microsofts Java-Implementierung, die die Redmonder ohnehin nicht mehr unterstützen. So setzen sie mit diesem Patch kurzerhand das Kill Bit in der Registry, das dafür sorgt, dass es aus dem Internet Explorer heraus nicht mehr aufgerufen oder nachinstalliert werden kann. Das führt jedoch dazu, dass die Microsoft Java Virtual Machine unter Umständen nicht mehr funktioniert. Der Patch ist als Workaround aufgeführt, was darauf schließen lässt, dass Microsoft zu einem späteren Zeitpunkt einen Patch nachreichen will, der das Problem konsequenter angeht.
Bisher geht Microsoft mit diesem Sicherheitsloch noch sehr halbherzig um. Das Advisory ist auf keiner der zentralen Sicherheitsseiten verlinkt, das Update wird zumindest bisher nicht über den automatischen Update-Service angeboten und auch der neue Microsoft Baseline Security Analyzer 2.0 attestiert verwundbaren Rechnern, dass alles im grünen Bereich wäre. Angesichts der Tatsache, dass bereits funktionierende Exploits im Internet verfügbar sind, die sich recht einfach erweitern lassen, könnte sich diese Halbherzigkeit noch bitter rächen, wenn es beispielsweise einem Angreifer gelingen sollte, auf einer vielbesuchten Web-Seite Code zu platzieren, der einen Trojaner installiert.
Alle Benutzer des Internet Explorer sollten das Update deshalb baldmöglichst installieren. Ausgenommen sind lediglich neuere Systeme, auf denen Microsofts Java ohnehin nicht mehr installiert ist. Wer auf Microsofts Java angewiesen ist, sollte nur noch mit hohen Sicherheitseinstellungen im Internet surfen. Weitere Details zu den möglichen Workarounds liefert das bisher nur in Englisch verfügbare Advisory.
Siehe dazu auch: (ju)
- Fehler im Internet Explorer mit ungewissen Folgen auf heise Security
- Scharfer Internet-Explorer-Exploit veröffentlicht auf heise Security
- Security Advisory von Microsoft
- Informationen zum Update von Microsoft
