[swissboy]

Javaprxy.dll COM-Objekt Sicherheitsupdate für den Internet Explorer (KB903235)

Ausserhalb des monatlichen Microsoft Patch-Days ist ein wichtiges Sicherheitsupdate für den Internet Explorer erschienen.

Betroffen sind alle Computer auf denen der Internet Explorer installiert ist.
Das Sicherheitsupdate ist selbst dann notwendig wenn ein anderer Webbrowser als der Internet Explorer verwendet wird!

Das Update behebt eine Sicherheitslücke im Javaprxy.dll COM-Objekt. Diese Sicherheitslücke ermöglicht Angreifern die Gefährdung Windows-basierender Systeme. Angreifer könnten beispielsweise Programme auf dem Computer ausführen wenn Sie sich eine Webseite anzeigen lassen.

Das Sicherheitsupdate ersetzt keine Dateien, sondern setzt lediglich das Kill-bit für dieses COM-Objekt.

Die Sicherheitslücke wurde am 17.06.2005 von SEC Consult entdeckt und am 29.06.2005 in einem Security Advisory veröffentlicht.
Am 30.06.2005 wurde die Sicherheitslücke von Microsoft im Security Advisory 903144 bestätigt.
Ausserdem wurde am 02.07.2005 von FrSIRT dazu ein Demo-Exploit veröffentlicht.

Mehr Infos dazu im Microsoft Knowledge Base Artikel 903235.


Folgende Versionen des Sicherheitsupdates sind verfügbar (Direkt-Download-Links):

Für Internet Explorer 6 unter Windows XP Service Pack 2 (489KB):
WindowsXP-KB903235-x86-DEU.exe

Für Internet Explorer 5.01, 5.5 und 6 SP1 unter Windows 98/98SE/ME, Windows 2000 SP3/SP4 und Windows XP SP1 (109KB): IE-KB903235-x86-DEU.exe

Für Internet Explorer 6 unter Windows Server 2003 (32-bit) (488KB):
WindowsServer2003-KB903235-x86-DEU.exe

Für Internet Explorer 6 unter Windows Server 2003 x64-bit Edition (nur Englisch verfügbar) (645KB):
WindowsServer2003-KB903235-x64-ENU.exe
(Möglicherweise funktioniert dieses Update auch für Windows XP x64-bit)

Für Internet Explorer 6 unter Windows Server 2003 Itanium 64-bit Edition (924KB):
WindowsServer2003-KB903235-ia64-DEU.exe

Über Microsoft Update bzw. Windows Update wird dieser Sicherheitsupdate bisher noch nicht angeboten.

Dieser Beitrag wurde von swissboy bearbeitet: 06. Juli 2005 - 08:00

[Systemlord67]

Danke für die Info, werde ich mich gleich mal drum kümmern...

HIER NOCH WEITERE Empfehlungen zur Thematik:

Eine andere Option ist die Deregistrierung der javaprxy.dll.
Dazu öffnet man die Eingabeaufforderung oder Start -> Ausführen... und gibt diesen Befehl ein:

regsvr32 /u javaprxy.dll

Nachteil dieser Lösung: Anwendungen, die auf Microsofts Java angewiesen sind, funktionieren nicht mehr. Eine andere von Microsoft vorgeschlagene Möglichkeit ist die Deinstallation der "Microsoft Java Virtual Machine" (MSJVM). Dies hat offensichtlich den gleichen Nachteil wie die vorgenannte Lösung, kann im Gegensatz zu dieser jedoch nur schwer wieder rückgängig gemacht werden. Ein Programm zur Entfernung der MSJVM kann nur über den Microsoft-Support bezogen werden, es steht nicht mehr öffentlich zum Download bereit.

In der Sicherheitsempfehlung werden noch weitere Möglichkeiten aufgeführt, etwa die Anwendung von Sicherheitsrichtlinien. Für die überwiegende Mehrzahl der Anwender dürfte das oben genannte Update-Programm die angemessene Methode sein. Es soll demnächst auch über Windows Update verfügbar sein.

Microsoft kündigt ferner an, dass nach Abschluss aller Untersuchungen dieser Schwachstelle möglicherweise ein Update bereit gestellt wird - entweder zum monatlichen Patch Day oder auch außer der Reihe. Die bislang vorgeschlagenen Maßnahmen sind nur als Workaround eingestuft.

Wer das Java von Sun mit dem Internet Explorer einsetzt, sollte sich nicht in Sicherheit wiegen. Solange die MSJVM installiert ist, kann die Sicherheitslücke ausgenutzt werden, falls keine der oben genannten Maßnahmen ergriffen wird.

Gefunden auf www.pcwelt.de/news/sicherheit

Dieser Beitrag wurde von Systemlord67 bearbeitet: 06. Juli 2005 - 08:53

[Witi]

wow!
Da hat M$ aber mal schnell reagiert.
Und trotzdem...was ist noch mit den ganzen anderen ungepachten Sicherheitslücken...

[swissboy]

Zitat (Witi: 06.07.2005, 09:54)

Und trotzdem...was ist noch mit den ganzen anderen ungepachten Sicherheitslücken...<{POST_SNAPBACK}>

Wir wollen doch hier nicht wieder mal ein Browser-Grundsatzdiskussion vom Zaun brechen. Wie wir wissen führt das eh zu nichts.

Zitat (Systemlord67: 06.07.2005, 09:37)

Danke für die Info, werde ich mich gleich mal drum kümmern...

HIER NOCH WEITERE Empfehlungen zur Thematik:<{POST_SNAPBACK}>

Die Tipps von PC-Welt sind ein alter Hut und nicht zu empfehlen. Die haben nur noch nicht gecheckt das es inzwischen einen offiziellen Sicherheitsupdate dafür gibt der die Sache sauber regelt.

Dieser Beitrag wurde von swissboy bearbeitet: 06. Juli 2005 - 09:14

[shogun03]

interesannt zu wissen , ich hatte bisher aus gründen der performance das MSJVM (incl. updates) nachträglich installiert da dieses eben halt schneller ist .
verwendet wird das MSJVM hier nur im maxthon-webbrowser da man dieses dort gesondert für die verwendung anwählen kann , im IE läuft das java von SUN.

[swissboy]

Zitat (shogun03: 06.07.2005, 10:03)

interesannt zu wissen , ich hatte bisher aus gründen der performance das MSJVM (incl. updates) nachträglich installiert da dieses eben halt schneller ist .
verwendet wird das MSJVM hier nur im maxthon-webbrowser da man dieses dort gesondert für die verwendung anwählen kann , im IE läuft das java von SUN.
<{POST_SNAPBACK}>

Von der MSJVM ist DRINGENST abzuraten das diese schon lange nicht mehr gepflegt wird und somit viele Sicherheitlücken aufweisen dürfte.

Dieser Beitrag wurde von swissboy bearbeitet: 06. Juli 2005 - 09:09

[Graumagier]

shogun03 sagte:

interesannt zu wissen , ich hatte bisher aus gründen der performance das MSJVM (incl. updates) nachträglich installiert da dieses eben halt schneller ist .

Die MSJVM ist ziemlicher Schrott, und die Performanceunterschiede zur Sun-JVM dürften minimal sein.

[shogun03]

@swissboy

das weiss ich das das MSJVM seit februar2003 mit dem 3810-update nichtmehr gepflegt wird, aber solange nichts weiter passiert und es nichts kongretes gibt werde ich es vermutlich erstmal weiterverwenden.

@Graumagier

das würde ich so nicht sagen, schriftlaufbänder oder chatfenster sind sofort verfügbar wo es bei SUN immernoch läd und läd....
wie gesagt, ich persönlich bin grundsätzlich vorsichtig und merke wenn irgendwas passiert und solange nichts passiert werde ich erstmal so weiterarbeiten.

Dieser Beitrag wurde von shogun03 bearbeitet: 06. Juli 2005 - 09:16

[Graumagier]

shogun03 sagte:

wie gesagt, ich persönlich bin grundsätzlich vorsichtig und merke wenn irgendwas passiert und solange nichts passiert werde ich erstmal so weiterarbeiten.

Aber dass von Java im Browser sowieso abzuraten ist, brauche ich ja wohl nicht zu erwähnen

Aber gut - lassen wir das.

Dieser Beitrag wurde von Graumagier bearbeitet: 06. Juli 2005 - 09:19

[swissboy]

Zitat (shogun03: 06.07.2005, 10:13)

das weiss ich das das MSJVM seit februar2003 mit dem 3810-update nichtmehr gepflegt wird, aber solange nichts weiter passiert und es nichts kongretes gibt werde ich es vermutlich erstmal weiterverwenden. <{POST_SNAPBACK}>

Wie heisst doch das alte Sprichwort: "Wer sich in Gefahr begibt kommt darin um!"

Dieser Beitrag wurde von swissboy bearbeitet: 06. Juli 2005 - 09:26

[shogun03]

@graumagier

genau...

@swissboy

"aus fehlern lernt man" , bisher gabs "noch" keine fehler

[MaTie]

Hi,

Habe mal eine Frage zu dem Update und zwar wollte ich mal wissen, wenn das Update wirklich so wichtig ist wie swissboy sagt, warum kann man das Update nicht über den Windows Update Dienst bekommen? Oder wird das Update in denn nächsten tagen darüber verfügbar sein?

[Witi]

Zitat (MaTie: 06.07.2005, 10:27)

Oder wird das Update in denn nächsten tagen darüber verfügbar sein?
<{POST_SNAPBACK}>

yep...die sind immer etwas langsamer

[swissboy]

Zitat (MaTie: 06.07.2005, 10:27)

Habe mal eine Frage zu dem Update und zwar wollte ich mal wissen, wenn das Update wirklich so wichtig ist wie swissboy sagt, warum kann man das Update nicht über den Windows Update Dienst bekommen? Oder wird das Update in denn nächsten tagen darüber verfügbar sein?<{POST_SNAPBACK}>

Ja, es wird demnächst wohl auch über Windows Update verfügbar sein.
Zitat aus Jeremy Dallman' Blog vom IE Security-Team: "This killbit package will also be available on Windows Update soon."

[Systemlord67]

Zitat (swissboy: 06.07.2005, 10:00)

Die Tipps von PC-Welt sind ein alter Hut und nicht zu empfehlen. Die haben nur noch nicht gecheckt das es inzwischen einen offiziellen Sicherheitsupdate dafür gibt der die Sache sauber regelt. 
<{POST_SNAPBACK}>

Ach echt?...
Hast wohl schon einschlägige Erfahrungen mit denen...kann natürlich sein.
Ich fand PC Welt als Printmedium als auch Onlineangebot eigentlich immer recht informativ...

Dieser Beitrag wurde von Systemlord67 bearbeitet: 06. Juli 2005 - 09:36