Computerbeveiliging - Hoe je bad guys buiten de deur houdt

MS ignores XML update issue

10-07-2013, 23:57 door Spiff has left the building, 51 reacties
N.B. Nederlandstalige tekst hieronder, in Reacties, 10-07, 23:58 en 23:59 uur


Microsoft ignores serious MSXML update issue

July 2012, an issue was found regarding Microsoft XML Core Services (MSXML) updates.
The process of that discovery can be seen in this forum thread, in Dutch:
http://www.security.nl/artikel/42204/1/Patch_XML_core_services_is_uit%21.html
It took a couple of days before it got clear what exactly was going on, and that turned out to be as follows:

MSXML 4.0 SP2 is no longer supported since April 2010.
See http://en.wikipedia.org/wiki/MSXML
and http://support.microsoft.com/kb/269238/en

For Windows systems on which MSXML 4.0 SP2 is present, MSXML 4.0 SP3 is not offered through Windows/Microsoft Update.
And for Windows systems on which MSXML 4.0 SP2 is present and not MSXML 4.0 SP3, security update KB2721691 was not offered through Windows/Microsoft Update.
Addition:
8 January 2013, KB2721691 was replaced by security update KB2758694, however, for Windows systems on which MSXML 4.0 SP2 is present and not MSXML 4.0 SP3, KB2758694 is not offered through Windows/Microsoft Update either.

Regarding KB2721691, see:
http://support.microsoft.com/kb/2721691/en
http://technet.microsoft.com/en-us/security/Bulletin/MS12-043
Addition:
Regarding KB2758694, see:
http://support.microsoft.com/kb/2758694/en
http://technet.microsoft.com/en-us/security/bulletin/ms13-002

For systems on which MSXML 4.0 SP2 is present and not MSXML 4.0 SP3, a solution is installing MSXML 4.0 SP3 from Microsoft Download Center.
After installing MSXML 4.0 SP3 next KB2758694 (was KB2721691) will be offered through Windows/Microsoft Update.
For systems on which MSXML 4.0 SP2 is present and not MSXML 4.0 SP3, MSXML 4.0 SP3 can be downloaded here:
http://www.microsoft.com/en-us/download/details.aspx?id=15697

To determine if and which msxml4.dll file versions are present,
and if MSXML 4.0 SP2 is present and not MSXML 4.0 SP3,
a search can be performed through Windows Menu Start,
using search term msxml4.dll
and next choosing See all results (Vista)/ See more results (Windows 7)/ of similar action in Windows XP or Windows 8.
If any msxml4.dll versions are found, they can be seen in
C:\Windows\System32
C:\Windows\SysWOW64 (only at x64 systems)
but possibly also in folders of specific applications with which MSXML 4.0 has been installed.
Additionally, have a look at Control Panel\ Programs and Features\ Uninstall or change a program.
Of any found msxml4.dll files you can check if it's SP2 or SP3.

To rule out that any msxml4.dll file might have been overlooked, optionally you can inventory all msxml4.dll locations in a different way,
by using command prompt (cmd.exe), as Administrator, consecutively run
cd\
dir /s /a msxml4.dll
or, for all msxml locations, regardless the msxml version, run
cd\
dir /s /a msxml*.dll
This inventory is only to determine whether no locations were missed with the search as referred to above.
Unlike the previously mentioned search, the inventory doesn't allow to check the files service-pack versions.


EDIT
Information regarding KB2758694 added


NB
Continued in comments, below

(otherwise the number of URLs is not accepted)
Reacties (51)
10-07-2013, 23:57 door Spiff has left the building - Bijgewerkt: 19-09-2013, 17:46
Continued from the above:


The problem is that practically no one is aware of the above.
In my opinion, with MSXML 4.0 SP2 present, MSXML 4.0 SP3 should be offered through Windows/Microsoft Update, after which KB2758694 (was KB2721691) can be offered through Windows/Microsoft Update.
The fact that MSXML 4.0 SP3 is not offered through Windows/Microsoft Update - with the result that security update KB2758694 (was KB2721691) is not offered - is very serious and worrying.


14 July 2012, I reported this issue to Microsoft Netherlands.
You can find the text of that report in this forum thread, in Dutch, see the 26-07-2012, 10:23 post by Spiff:
https://www.security.nl/artikel/42204/1/Patch_XML_core_services_is_uit%21.html
in which Spiff's 26-07-2012, 10:23 post: https://www.security.nl/posting/37160#posting324083
Unfortunately, I never received any reply from Microsoft to my 14 July 2012 report.
Nevertheless, I hoped that Microsoft had taken the appropriate action.

5 June 2013, I read this article, in Dutch:
https://www.security.nl/artikel/46519/1/Top_10_van_minst_gepatchte_programma%27s_in_Nederland.html
based on this Secunia report, in English:
http://www.secunia.com/?action=fetch&filename=PSI-Country-Report-(NL)-(2013Q1).pdf
http://www.secunia.com/?action=fetch&filename=PSI-Country-Report-(US)-(2013Q1).pdf
http://www.secunia.com/resources/countryreports/
which seems to show that the MSXML update issue is still not resolved.
Thereon I contacted Microsoft again, to notify concerning this matter.
Contacting Microsoft Netherlands it appeared that now the only option to report this issue was through Microsoft Community, Microsoft Netherlands referred me to that portal.
That was why at 5 June 2013 I reported the issue through Microsoft Community.
That report and the following correspondence, in Dutch, you find here:
http://answers.microsoft.com/nl-nl/windows/forum/windows_7-windows_update/microsoft-xml-core-services-update-problemen/db974d72-a583-4b4d-a1cd-aaf2bdd8b881

26 June 2013 feedback from Microsoft was posted,
including the following:
"The resolution is to have MSXML 4.0 SP3 installed as Microsoft no longer support MSXML 4.0 SP2.
There is nothing wrong with WSUS or the Windows Update site. It's basically due to the detection logic of the update which is causing this confusion. XML4.0 SP2 is no longer supported and security bulletins and updates only handle supported configurations. Thus, it won't be possible for us to change the detection logic of this.
"

(see page 2 of that Microsoft Community thread,
http://answers.microsoft.com/nl-nl/windows/forum/windows_7-windows_update/microsoft-xml-core-services-update-problemen/db974d72-a583-4b4d-a1cd-aaf2bdd8b881?tab=AllReplies&page=2#tabs
the 26 June 2013 reply by forumbeheerder (= forum administrator) M. Linssen.)

3 July 2013, I contacted Microsoft Security Response Center (MSRC).
8 July 2013, Microsoft Security Response Center replied,
"MSXML4 SP3 is not a direct update of MSXML4 SP2, but a replacement, similar in that IE10 replaces IE9, or .Net 4.0 replaces .Net 2.0.
MSXML4 SP2 is not automatically 'upgraded' to SP3 because this would cause unexpected results on the updated machine.
"

and
"MSXML 4.0 SP2 has not been supported for over multiple years now and as a policy we don't produce updates for unsupported software."
and 9 July 2013
"This is not a scenario where a direct service pack was not offered. MSXML 4 SP3 is completely different than SP2 and so it could NOT be offered the way we offer service packs on Windows or Office. Additionally, no update would be offered for the unsupported MSXML 4 SP2 software years after it end of life. Additionally, the end of support for MSXML SP2 was extensively messaged, see http://blogs.msdn.com/b/xmlteam/archive/2010/03/30/msxml4-0-sp2-is-going-out-of-support-in-april-2010.aspx."
and
"This has been sufficiently messaged over the years and [we?] are comfortable with the steps taken to upgrade users from the deprecated MSXML 4 SP2."


The fact that it's very serious and worrying that for Windows systems on which MSXML 4.0 SP2 is present, MSXML 4.0 SP3 is not offered through Windows/Microsoft Update, and as a result of that security update KB2758694 (was KB2721691) is not offered,
and the fact that this problem won't resolve itself,
and the fact that hardly anyone is aware of this issue,
and the fact that because of that many users don't get MSXML 4.0 SP3 and security update KB2758694 (was KB2721691),
and the fact that because of that many users have a Windows system on which there's a MSXML vulnerability that remains unpatched,
Microsoft chooses to ignore all of this.


The only thing left for me to do, is to offer this information in this way.


Addition:
Also read Sander Berkouwer's blog post:
Security Thoughts: Are you still running XML Core Services (MSXML) 4.0 with Service Pack 2 in your environment?
http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2013/07/24/security-thoughts-are-you-still-running-xml-core-services-msxml-4-0-with-service-pack-2-in-your-environment.aspx


EDITS
Information regarding KB2758694 added.
Reference to Sander Berkouwer's blog post added.
10-07-2013, 23:58 door Spiff has left the building
Same content in Dutch:
Zelfde inhoud in het Nederlands:


Microsoft negeert ernstig MSXML update probleem


Juli 2012 werd een probleem ontdekt met de updates voor Microsoft XML Core Services (MSXML).
Dat is te volgen in de loop van deze thread van juli 2012 op het Security.nl forum:
http://www.security.nl/artikel/42204/1/Patch_XML_core_services_is_uit%21.html
Het duurde een paar dagen voordat duidelijk was wat er exact aan de hand was, maar dat bleek het volgende te zijn:

MSXML 4.0 SP2 wordt sinds april 2010 niet meer ondersteund.
Zie http://en.wikipedia.org/wiki/MSXML
en http://support.microsoft.com/kb/269238/en

Op Windows systemen waarop MSXML 4.0 SP2 aanwezig is, wordt daarvoor niet MSXML 4.0 SP3 aangeboden via Windows/Microsoft Update.
En op Windows systemen waarop MSXML 4.0 SP2 aanwezig is en niet MSXML 4.0 SP3, werd beveiligingsupdate KB2721691 niet aangeboden via Windows/Microsoft Update.
Aanvulling:
8 januari 2013 is KB2721691 vervangen door beveiligingsupdate KB2758694, maar voor Windows systemen waarop MSXML 4.0 SP2 aanwezig is en niet MSXML 4.0 SP3 wordt KB2758694 evenmin aangeboden via Windows/Microsoft Update.

Over KB2721691, zie:
http://support.microsoft.com/kb/2721691/en
http://technet.microsoft.com/en-us/security/Bulletin/MS12-043
Aanvulling:
Over KB2758694, zie:
http://support.microsoft.com/kb/2758694/en
http://technet.microsoft.com/en-us/security/bulletin/ms13-002

Voor systemen waarop MSXML 4.0 SP2 aanwezig is, en nog niet MSXML 4.0 SP3, is een oplossing het door de gebruiker installeren van MSXML 4.0 SP3, buiten Windows/Microsoft Update om, vanaf het Microsoft Download Center.
Na het installeren van MSXML 4.0 SP3 wordt vervolgens via Windows/Microsoft Update alsnog KB2758694 aangeboden (eerder KB2721691).
Voor systemen waarop MSXML 4.0 SP2 aanwezig is, en nog niet MSXML 4.0 SP3, kan MSXML 4.0 SP3 hier worden gedownload:
http://www.microsoft.com/en-us/download/details.aspx?id=15697

Om te bepalen of en welke msxml4.dll bestandsversies aanwezig zijn op een systeem,
en of daarbij MSXML 4.0 SP2 aanwezig is, en nog niet MSXML 4.0 SP3,
kan worden gezocht door een zoekopdracht via Windows Menu Start,
met zoekterm msxml4.dll
en vervolgens Overal zoeken/ See all results (Vista)/ Meer resultaten weergeven/ See more results (Windows 7)/ of de overeenkomstige actie in Windows XP of Windows 8.
Eventueel gevonden msxml4.dll versies kunnen worden aangetroffen in
C:\Windows\System32
C:\Windows\SysWOW64 (enkel op x64 systemen)
maar mogelijk ook in mappen van specifieke applicaties waarmee MSXML 4.0 is meegeïnstalleerd.
Kijk aanvullend ook nog even naar Configuratiescherm\ Programma's en onderdelen\ Een programma verwijderen of wijzigen.
Van de eventueel aangetroffen msxml4.dll bestanden kan worden gecontroleerd of dat SP2 of SP3 betreft.

Om uit te sluiten dat msxml4.dll bestanden over het hoofd gezien zijn, kunnen eventueel nog alle msxml4.dll locaties op een andere wijze worden geïnventariseerd,
door middel van het via command prompt (cmd.exe), als Administrator, uitvoeren van achtereenvolgens
cd\
dir /s /a msxml4.dll
of álle msxml-locaties ongeacht de msxml-versie, door middel van
cd\
dir /s /a msxml*.dll
Deze manier van inventariseren via command prompt is echter slechts ter controle of geen locaties gemist zijn bij de eerder beschreven zoekopdracht.
Het geeft je, anders dan de eerder beschreven zoekopdracht, niet de mogelijkheid om voor de gevonden bestanden gelijk de servicepack-versie te controleren.


EDIT
Informatie betreffend KB2758694 toegevoegd


N.B.
Vervolg in de reactie hieronder

(omdat anders het aantal URL's niet wordt geaccepteerd)
10-07-2013, 23:59 door Spiff has left the building - Bijgewerkt: 19-09-2013, 17:47
Vervolg van het bovenstaande:


Het probleem is dat vrijwel niemand van het bovenstaande op de hoogte is.
In mijn opinie zou bij een aanwezige MSXML 4.0 SP2 automatisch MSXML 4.0 SP3 aangeboden horen te worden via Windows/Microsoft Update, waarna vervolgens KB2758694 (eerder KB2721691) kan worden aangeboden via Windows/Microsoft Update.
Dat dat aanbieden van MSXML 4.0 SP3 via Windows/Microsoft Update niet plaatsvindt - met als gevolg daarvan het niet aanbieden van beveiligingsupdate KB2758694 (eerder KB2721691) - dat is zeer ernstig en verontrustend.


Ik heb dit probleem op 14 juli 2012 al gemeld, rechtstreeks aan Microsoft Nederland.
Zie voor de volledige tekst van mijn toenmalige melding het bericht van 26-07-2012, 10:23 uur, door Spiff, in deze thread:
https://www.security.nl/artikel/42204/1/Patch_XML_core_services_is_uit%21.html
waarin Spiff's 26-07-2012, 10:23 post: https://www.security.nl/posting/37160#posting324083
Op die melding van 14 juli 2012 rechtstreeks aan Microsoft heb ik echter nooit een reactie van Microsoft ontvangen.
Ik hoopte desondanks dat Microsoft toch actie had ondernomen.

5 juni 2013 las ik echter dit artikel:
https://www.security.nl/artikel/46519/1/Top_10_van_minst_gepatchte_programma%27s_in_Nederland.html
gebaseerd op deze Secunia rapportage:
http://www.secunia.com/?action=fetch&filename=PSI-Country-Report-(NL)-(2013Q1).pdf
http://www.secunia.com/?action=fetch&filename=PSI-Country-Report-(US)-(2013Q1).pdf
http://www.secunia.com/resources/countryreports/
waaruit lijkt te blijken dat het MSXML update probleem nog steeds niet is opgelost.
Ik heb daarop opnieuw contact opgenomen met Microsoft om die daarvan in kennis te stellen.
Er bleek echter dat er geen andere meld-mogelijkheid voor het betreffende probleem meer bestaat dan via Microsoft Community, Microsoft Nederland verwees me daarnaar.
Daarom heb ik het probleem op 5 juni 2013 dan maar aangekaart via Microsoft Community.
Die melding en het vervolg ervan vind je hier:
http://answers.microsoft.com/nl-nl/windows/forum/windows_7-windows_update/microsoft-xml-core-services-update-problemen/db974d72-a583-4b4d-a1cd-aaf2bdd8b881

Op 26 juni 2013 volgde in die thread feedback van Microsoft,
met daarin onder meer het volgende:
"The resolution is to have MSXML 4.0 SP3 installed as Microsoft no longer support MSXML 4.0 SP2.
There is nothing wrong with WSUS or the Windows Update site. It's basically due to the detection logic of the update which is causing this confusion. XML4.0 SP2 is no longer supported and security bulletins and updates only handle supported configurations. Thus, it won't be possible for us to change the detection logic of this.
"

(zie pagina 2 van de betreffende Microsoft Community thread,
http://answers.microsoft.com/nl-nl/windows/forum/windows_7-windows_update/microsoft-xml-core-services-update-problemen/db974d72-a583-4b4d-a1cd-aaf2bdd8b881?tab=AllReplies&page=2#tabs
en daar de reactie van forumbeheerder M. Linssen van 26 juni 2013.)

3 juli 2013 heb ik contact opgenomen met Microsoft Security Response Center (MSRC).
8 juli 2013 antwoordde Microsoft Security Response Center,
"MSXML4 SP3 is not a direct update of MSXML4 SP2, but a replacement, similar in that IE10 replaces IE9, or .Net 4.0 replaces .Net 2.0.
MSXML4 SP2 is not automatically 'upgraded' to SP3 because this would cause unexpected results on the updated machine.
"

en
"MSXML 4.0 SP2 has not been supported for over multiple years now and as a policy we don't produce updates for unsupported software."
en 9 juli 2013
"This is not a scenario where a direct service pack was not offered. MSXML 4 SP3 is completely different than SP2 and so it could NOT be offered the way we offer service packs on Windows or Office. Additionally, no update would be offered for the unsupported MSXML 4 SP2 software years after it end of life. Additionally, the end of support for MSXML SP2 was extensively messaged, see http://blogs.msdn.com/b/xmlteam/archive/2010/03/30/msxml4-0-sp2-is-going-out-of-support-in-april-2010.aspx."
en
"This has been sufficiently messaged over the years and [we?] are comfortable with the steps taken to upgrade users from the deprecated MSXML 4 SP2."


Het feit dat het zeer ernstig en verontrustend is dat Windows systemen met MSXML 4.0 SP2 niet MSXML 4.0 SP3 krijgen aangeboden via Windows/Microsoft Update en als gevolg daarvan niet beveiligingsupdate KB2758694 (eerder KB2721691),
en het feit dat dit probleem zich niet automatisch oplost,
en het feit dat vrijwel niemand hiervan op de hoogte is,
en het feit dat daardoor vele gebruikers MSXML 4.0 SP3 en beveiligingsupdate KB2758694 (eerder KB2721691) missen,
en het feit dat daardoor bij vele gebruikers een kwetsbaarheid in MSXML ongepatcht blijft,
Microsoft kiest ervoor dit alles te negeren.


Het enige dat me nog rest, is deze informatie hier aan te bieden.


Aanvulling:
Lees ook Sander Berkouwers blogpost:
Security Thoughts: Are you still running XML Core Services (MSXML) 4.0 with Service Pack 2 in your environment?
http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2013/07/24/security-thoughts-are-you-still-running-xml-core-services-msxml-4-0-with-service-pack-2-in-your-environment.aspx


EDITS
Informatie betreffend KB2758694 toegevoegd.
Verwijzing naar Sander Berkouwers blogpost toegevoegd.
11-07-2013, 00:00 door Spiff has left the building
Na het posten van het bovenstaande, nu een aantal vragen:

(Op) welke sites zal ik naar het bovenstaande verwijzen om die informatie zo breed mogelijk onder de aandacht te krijgen?


Inmiddels heb ik Tweakers, Webwereld en The Register getipt.
Mogelijk dat die er aandacht aan kunnen besteden.
Ook heb ik zekerheidshalve Secunia ingelicht, voor het geval dat die iets kan met de zaak.
Secunia heeft inmiddels bericht dat mijn melding onder beoordeling is.

Ook heb ik een link gepost op Reddit,
in de grootste en actiefste relevante subreddit die ik gevonden heb:
Information Security News
http://www.reddit.com/r/netsec/
Subject: Microsoft ignores serious MSXML update issue

Ik had eventueel ook nog kunnen cross-posten naar twee kleinere subreddits
http://www.reddit.com/r/ComputerSecurity/
http://www.reddit.com/r/compsec/
maar ik zag geen mogelijkheid voor cross-posting naar direct drie subreddits in een keer,
en daarnaast waardeert niet iedereen cross-posting even zeer, ook al vermeldt de reddiquette wel "consider cross posting if the contents fits more communities".

Aanvulling:
15/16 juli heb ik inmiddels ook op de Full Disclosure Mailing List gepost.
Zie:
http://lists.grok.org.uk/pipermail/full-disclosure/2013-July/091027.html
of hier: http://seclists.org/fulldisclosure/2013/Jul/156

Ik had gewacht met posten op de Full Disclosure Mailing List, omdat ik twijfelde of de Full Disclosure Mailing List wel bedoeld is voor een verwijzing naar zoiets als dit betreffende probleem.
Het betreft immers geen nieuwe kwetsbaarheid of vergelijkbaar nieuws, maar 'slechts' oud nieuws waarvan velen niet op de hoogte zijn.
Hoort een verwijzing naar dit probleem wel op de Full Disclosure Mailing List, zo bleef ik me afvragen.
Maar omdat het een serieus probleem betreft dat alle aandacht kan gebruiken die ik er maar op weet te vestigen, heb ik uiteindelijk toch besloten te posten op Full Disclosure Mailing List


Of ik misschien tevens een verwijzing moet plaatsen op Secunia Vulnerabilities Forum, dat weet ik ook niet zeker, net zoals ik twijfelde met posten op de Full Disclosure Mailing List. Ik heb het zekerheidshalve Secunia gevraagd, maar daar nog geen antwoord op gekregen.
Hiervoor geldt wellicht hetzelfde als voor posten op de Full Disclosure Mailing List:
Is Secunia Vulnerabilities Forum wel bedoeld voor een verwijzing naar zoiets als dit betreffende probleem?
Het betreft immers geen nieuwe kwetsbaarheid of vergelijkbaar nieuws, maar 'slechts' oud nieuws waarvan velen niet op de hoogte zijn.
Hoort een verwijzing naar het bovenstaande wel of niet op Secunia Vulnerabilities Forum?
Gezien het feit dat ik inmiddels al wel heb gepost op de Full Disclosure Mailing List, wacht ik nog maar even Secunia's antwoord af betreffend Secunia Vulnerabilities Forum.


Hebben jullie mogelijk nog meer tips?
Sites waarvan het nuttig is dat ik die verwijs naar deze melding, of waar het nuttig is dat ik er zelf een verwijzing post?
Ik kan natuurlijk niet overal verwijzingen gaan posten en iedere site naar het bovenstaande verwijzen, ik moet me beperken tot een aantal sites die ertoe doen en/of die een breed bereik hebben, en dan hoop ik dat de informatie zich vervolgens verder verspreidt.
Veel meer kan ik niet meer doen, denk ik.

Ik ben benieuwd naar jullie tips.


[wijzigingen: aanvullingen en aangepaste opmaak van de tekst]
11-07-2013, 18:46 door S-q.
Ahoj Spiff;
Misschien een idee om een heldere samenvatting te maken van het risico, de linken en gedetailleerde uitleg als toevoeging, aan de grote banken en de in aanmerking komende overheids instanties?

Vooral het risico in samenhang met het "niet weten" laat staan het in staat zijn het technisch op te lossen zal misschien de gewenste aandacht genereren?

Als het risico zo ligt als jij denkt zal het iets teweeg brengen uiteindelijk.
Maar het aan Sicunia melden is ook een idee, die liggen er al met meer overhoop ;-))
11-07-2013, 19:37 door Spiff has left the building
Door S-q., 18:46 uur:
Misschien een idee om een heldere samenvatting te maken van het risico, de linken en gedetailleerde uitleg als toevoeging, aan de grote banken en de in aanmerking komende overheids instanties?
Dat wat ik hierboven in Engels en Nederlands heb neergezet is inderdaad niet bepaald een samenvatting ;-)
Al is in zowel het Engelstalige als in het Nederlandstalige stuk de derde alinea wel als samenvatting te beschouwen en geeft het ook het probleem aan:
Door Spiff, wo.10-07, 23:58 uur:
Op Windows systemen waarop MSXML 4.0 SP2 aanwezig is, wordt daarvoor niet MSXML 4.0 SP3 aangeboden via Windows/Microsoft Update.
En op Windows systemen waarop MSXML 4.0 SP2 aanwezig is en niet MSXML 4.0 SP3, wordt beveiligingsupdate KB2721691 niet aangeboden via Windows/Microsoft Update.
En wat bedoelde jij exact met het risico, S-q.?
Het niet aanbieden van KB2721691 voor MSXML 4.0 SP2, of de potentiële gevolgen daarvan?
Het betrof vorig jaar zomer een serieuze kwetsbaarheid in MSXML, dus het niet patchen daarvan voor MSXML 4.0 SP2 zal als serieus beschouwd moeten worden. Hoe groot het risico op misbruik van die kwetsbaarheid exact is, en hoe ver de gevolgen daarvan kunnen strekken, dat kan ik niet beoordelen.

Het aanbieden van de informatie aan de banken en overheidsorganisaties, dat was nog niet bij me opgekomen.
Hoe kwam jij zo op dat idee?
Is de achtergrond van dat idee de bescherming van de systemen van de banken en de overheidsorganisaties?
Of mogelijk ook advies aan hun klanten?

Ik zou het idee, als je het nog wat verder kunt toelichten, eens kunnen overwegen.
Of zou jij daar misschien zelf mee aan de slag willen, S-q.?
Het aanbieden van de informatie aan de banken en overheidsorganisaties is immers jouw idee, mogelijk heb je ook al een idee hoe het uitgewerkt en aangepakt kan worden?

Ikzelf ben momenteel even wat moe van het omgaan met grote organisaties. Een goeie maand sjorren aan Microsoft, en die aansporen tot duidelijkheid en tot verantwoordelijk gedrag - met frustrerend eindresultaat - dat put uit, en maakt weinig enthousiast om nu eens de tanden te zetten in een verzameling vergelijkbare dikhuidigen.
12-07-2013, 11:49 door S-q.
@Spiff;

Aan je verzoek voldaan.

Berichten verzonden aan;
Ned.overheid;
Ned. Verenining van banken
Secunia.
12-07-2013, 13:18 door Spiff has left the building
@ S-q.

Prachtig zeg!
Mocht je er reacties op krijgen, zou je die dan nog in deze thread willen posten, alsjeblieft?

Aan Secunia had ik overigens gisteren zelf al gemeld, dat stond al in mijn bericht van gisteren 00:00 uur met de aanpassingen van 16:21 uur van gisteren (inmiddels heb ik die post al weer opnieuw bijgewerkt).

Ik heb gemeld aan het Secunia "Report Vulnerability" adres.
Op het Secunia Vulnerabilities Forum heb ik zoals ik aangaf nog niet gepost.

Aan welk Secunia adres heb jij gemeld, S-q.?
12-07-2013, 20:54 door S-q.
@Spiff;

Hier een reactie;
Geachte; xxxxxxxxxx

"Dank voor uw attentie. Ik stuur uw bericht door aan onze experts.

Met vriendelijke groet,

Annemarie Otten
Communicatie en Public Affairs
Nederlandse Vereniging van Banken"

Ik heb overigens voor Secunia hetzelfde adres gebruikt als jij. ;-))

Het zou mij verbazen als er verder met je gecommuniceerd wordt.
Ik heb het idee dat in dit soort gevallen het een paar "schijven"' verder gaat.
Belangrijk is dat je het weet af te leveren bij mensen waar het in de belangstelling staat.

(met een hint als veilig internet bankieren bijvoorbeeld)

Als we er al wat van gaan merken zal het na maanden zijn en zal je ergens iets opvallen in 1 of andere publikatie met het onderwerp.

Aanvulling;

Hier de 2e bevestiging;

Beste heer xxxxxxxx

Dank voor uw bericht. We gaan ermee aan de slag.

--
Met vriendelijke groet,

De Waarschuwingsdienst
http://www.waarschuwingsdienst.nl
12-07-2013, 21:03 door Spiff has left the building
Inmiddels heb ik ook een link gepost op Reddit,
in de grootste en actiefste relevante subreddit die ik gevonden heb:
Information Security News
http://www.reddit.com/r/netsec/
Subject: Microsoft ignores serious MSXML update issue

Ik zou eventueel ook nog kunnen cross-posten naar twee kleinere subreddits
http://www.reddit.com/r/ComputerSecurity/
http://www.reddit.com/r/compsec/
maar ik zag geen mogelijkheid voor cross-posting naar direct drie subreddits in een keer,
en daarnaast waardeert niet iedereen cross-posting even zeer, ook al vermeldt de reddiquette wel "consider cross posting if the contents fits more communities".
12-07-2013, 21:27 door Spiff has left the building
Door S-q.:
Het zou mij verbazen als er verder met je gecommuniceerd wordt.
Ik heb het idee dat in dit soort gevallen het een paar "schijven"' verder gaat.
Belangrijk is dat je het weet af te leveren bij mensen waar het in de belangstelling staat.

Mooi S-q., dat je in ieder geval al een ontvangsbevestiging hebt gekregen van de Nederlandse Vereniging van Banken.
Verder is de kans dat we daar wat van vernemen niet groot, denk ik ook.
Maar mocht iemand door het aanreiken van de informatie actie ondernemen, ook al vernemen we daar niets van, dan is dat mooi.

Secunia berichtte overigens: "We will review the details and get back to you."
12-07-2013, 23:48 door Anoniem
KB2721691 is toch geen actuele update?
KB2758694 is al een tijd geleden uitgekomen en vervangt deze update.
Niet zo daar dat die eerste niet meer aangeboden wordt dus.
13-07-2013, 10:07 door Spiff has left the building
Door Anoniem, vr.12-07, 23:48 uur:
KB2721691 is toch geen actuele update?
KB2758694 is al een tijd geleden uitgekomen en vervangt deze update.
Goed opgemerkt !
Hartelijk bedankt.
Die informatie was aan me voorbijgegaan.

KB2721691 is van 10 juli 2012.
KB2758694 is van 8 januari 2013.

http://support.microsoft.com/kb/2758694/en
http://technet.microsoft.com/en-us/security/bulletin/ms13-002
http://www.microsoft.com/en-us/download/details.aspx?id=36292

Ik heb inmiddels aanvullingen gemaakt in de bovenstaande stukken.
Overigens geldt ook voor KB2758694 dat die niet automatisch aangeboden wordt voor MSXML SP2, maar eveneens pas nadat MSXML SP3 is geïnstalleerd.


Door Anoniem, vr.12-07, 23:48 uur:
Niet zo daar dat die eerste niet meer aangeboden wordt dus.
Ik vermoed dat je bedoelde "niet zo raar"?
Nee, maar zoals ik al aangaf, KB2758694 zal net zo min automatisch worden aangeboden voor MSXML SP2, maar eveneens pas nadat MSXML SP3 is geïnstalleerd.
14-07-2013, 10:57 door Anoniem
Kan je niet de discussie aan de bron verder voeren? Want ook daar klopt iets niet.

Stelling Microsoft is (begrijp ik): MSXML4 SP2 kunnen we niet automatisch upgraden met Windows Update naar MSXML4 SP3 omdat MSXML4 SP unsupported is.
Dus: Als ik Windows XP SP2 installeer, dan mag Windows XP SP3 niet automatisch geinstalleerd worden via Windows Update, immers Windows XP SP2 is unsupported.
En dat laatste is niet waar. Dus verhaal Microsoft klopt niet.

En de compatibiliteits verschillen tussen MSXML4 SP2 en MSXML4 SP3 is ook onzin, want tussen Windows XP SP2 en Windows XP SP3 zitten ook compatibiliteits verschillen.
Dus verhaal Microsoft klopt weer niet.
14-07-2013, 15:51 door Spiff has left the building
Door Anoniem, 10:57 uur:
Kan je niet de discussie aan de bron verder voeren?
Ha, dat heb ik uitgeprobeerd geprobeerd :-)
De correspondentie was vele malen extensiever dan ik in mijn post in deze thread heb kunnen weergeven.
Microsoft was steeds vrij kortaf, maar ikzelf heb denk op alle mogelijke manier geprobeerd Microsoft het probleem te laten inzien en geprobeerd op een zekere verantwoordelijkheid te wijzen. En dit zo uitgebreid dat ik al die correspondentie niet ook nog in mijn toch al zo uitgebreide post heb willen opnemen, dat was teveel geweest en had geen toegevoegde waarde geboden. Maar geloof me, ik heb m'n best gedaan. Nog verder discussie voeren was echter niet mogelijk, er werd op sommige vragen simpelweg niet meer geantwoord.

Wanneer ook vele anderen nog eens Microsoft zouden gaan bevragen over dit probleem - wie weet wat er dan op de duur gebeurt. Maar wees voorbereid, communicatie met Microsoft verloopt stroef.


Door Anoniem, 10:57 uur:
Stelling Microsoft is (begrijp ik): MSXML4 SP2 kunnen we niet automatisch upgraden met Windows Update naar MSXML4 SP3 omdat MSXML4 SP unsupported is.
Dus: Als ik Windows XP SP2 installeer, dan mag Windows XP SP3 niet automatisch geinstalleerd worden via Windows Update, immers Windows XP SP2 is unsupported.

Ongeveer, maar niet exact.
Exacter is dit:
Microsoft stelt (in een vrije weergave door mij):

1. Toen MSXML4 SP2 nog ondersteund werd kon MSXML4 SP3 niet automatisch worden aangeboden of gepushed, want dat zou in sommige gevallen mogelijk problemen hebben kunnen veroorzaken.
2. Inmiddels wordt MSXML4 SP2 niet meer ondersteund, dus we voelen ons niet verantwoordelijk het huidige bestaande probleem op te gaan lossen.

Ik vind dat Microsoft zich er daarmee veel te gemakkelijk vanaf maakt.
14-07-2013, 18:13 door Anoniem
Door Spiff:
Door Anoniem, vr.12-07, 23:48 uur:
Niet zo daar dat die eerste niet meer aangeboden wordt dus.
Ik vermoed dat je bedoelde "niet zo raar"?

Inderdaad, een tikfout.
Maar je schrijft later ook nog dat je met Microsoft gediscussieerd hebt.
Ik denk dat je verwacht dat je een Microsoft statement terug krijgt, maar uiteraard praat je gewoon
tegen een eerstelijns helpdesker die even iets opzoekt in hun knowledgebase. Dit is echt geen officieel
antwoord.
En het is inderdaad bijna niet mogelijk om met hen een discussie te voeren, ook omdat je normaal
gesproken voor iedere reply weer bij iemand anders terecht komt en die zich eerst weer moet inlezen.
Daar hebben ze dan geen zin in en dan stellen ze weer domme vragen die allang beantwoord zijn.

Ik heb pas nog een discussie gehad met mensen van hun zoekmachine spider. Hoevaak ik er toch
op gewezen heb dat het probleem is welke URL's ze fetchen vanuit hun spider (incorrect afgeleid uit
de pagina inhoud) het maakt niet uit, ze blijven maar vragen of mijn pagina's niet in de zoekresultaten
terecht komen en of ik wle een robots.txt heb of een Microsoft account, en dat soort irrelevante vragen.
En iedere ronde weer antwoord van een andere helpdeskmonkey.
14-07-2013, 20:06 door Spiff has left the building
Door Anoniem, 18:13 uur:
je schrijft later ook nog dat je met Microsoft gediscussieerd hebt.
Ik denk dat je verwacht dat je een Microsoft statement terug krijgt, maar uiteraard praat je gewoon tegen een eerstelijns helpdesker die even iets opzoekt in hun knowledgebase. Dit is echt geen officieel antwoord. En het is inderdaad bijna niet mogelijk om met hen een discussie te voeren, ook omdat je normaal gesproken voor iedere reply weer bij iemand anders terecht komt en die zich eerst weer moet inlezen.
Nee, mijn laatste contact was een week lang correspondentie over en weer met Microsoft Security Response Center (MSRC), dat betrof niet slechts wat opzoeken in een knowledgebase. En ik had daar contact met één persoon als contactpersoon, niet steeds met verschillende personen. (Dit althans volgens de ondertekening van de e-mails.)
15-07-2013, 12:38 door cjkos
SPiff,

In het kort: Je zegt dus dat Microsoft duidelijk moet maken dat iedereen moet updaten naar SP3?

Dat hele versie gedoe is raar, ik vraag me af waarom er nu drie/vier versies nodig kunnen zijn, in plaats van 1 die de hele lading dekt. Heb je daar wel antwoord op gekegen?
15-07-2013, 13:32 door Spiff has left the building
Door cjkos:
In het kort: Je zegt dus dat Microsoft duidelijk moet maken dat iedereen moet updaten naar SP3?
Wanneer Microsoft het probleem zou willen oplossen, dan is het aan Microsoft om te kiezen hoe.
Ik weet niet wat de beste manier zou zijn waarop Microsoft dat zou kunnen doen.

1,
Pushen van MSXML 4.0 SP3 naar die systemen waar MSXML 4.0 SP2 op staat, met een beperkt risico dat sommige applicaties die nog steeds afhankelijk zijn van specifiek MSXML 4.0 SP2 mogelijk niet meer goed functioneren,
of 2,
niet pushen van MSXML 4.0 SP3, maar op de een of andere manier iedereen informeren dat een update/upgrade van MSXML 4.0 SP2 naar MSXML 4.0 SP3 beslist noodzakelijk is om een kwetsbaarheid in MSXML 4.0 te kunnen patchen (Microsoft lost daarmee een eventueel compatibiliteitsprobleem echter niet op, maar zegt ook dan eigenlijk, "Je zoekt het zelf maar uit"),
of 3,
het ontwikkelen van een goed backwards compatible MSXML 4.0 SP4 met daarin de volledige functionaliteit van MSXML 4.0 SP2, en dat vervolgens pushen naar die systemen waar MSXML 4.0 SP2 op staat, en na het pushen daarvan MSXML 4.0 SP2 automatisch verwijderen,
of 4,
zo mogelijk de volledige functionaliteit van MSXML 4.0 SP2 én MSXML 4.0 SP3 integreren in een nog te ontwikkelen update voor MSXML 6.0, en na het pushen daarvan MSXML 4.0 automatisch verwijderen,
of 5,
het bieden van een MSXML 4.0 security patch vergelijkbaar met KB2721691 en KB2758694 maar nu tevens geschikt voor en aangeboden voor MSXML 4.0 SP2,
of
nog een andere oplossing.

De keuze van de oplossing laat ik graag aan Microsoft over, áls er maar een oplossing doorgevoerd wordt.
Opties 3, 4 en 5 zouden het netste zijn.

Echter, daarvan is allemaal geen sprake, want Microsoft beroept zich erop al diverse jaren MSXML 4.0 SP2 niet meer te ondersteunen en wenst daarom het bestaande serieuze probleem dat een kwetsbaarheid in MSXML 4.0 SP2 niet wordt gepatched niet op te lossen.


Door cjkos:
Dat hele versie gedoe is raar, ik vraag me af waarom er nu drie/vier versies nodig kunnen zijn, in plaats van 1 die de hele lading dekt. Heb je daar wel antwoord op gekregen?
Dat heb ik Microsoft niet gevraagd.
Het betreft een situatie die zo gegroeid is.
Hoe dat allemaal in elkaar zit, dat wordt hier beschreven:
http://en.wikipedia.org/wiki/MSXML

Het zou wellicht beter zijn wanneer er één MSXML versie zou zijn die alles ondersteunt wat nodig is en die zelf ook ondersteund blijft worden, maar zo simpel is de situatie jammer genoeg niet.
15-07-2013, 14:02 door Anoniem
Aangezien het niet mogelijk is MSXML 4.0 SP2 en SP3 naast elkaar te installeren vermoed ik dat de
claim dat je SP2 niet zomaar door SP3 mag vervangen bullshit is.
Immers zodra er een pakket geinstalleerd wordt wat SP3 installeert of vraagt dat te zoen zou de boel
meteen instorten?
De versies die je naast elkaar kunt installeren zijn de major releases 4.0 6.0 (5.0 zit alleen in office).
Ik denk dat men daar mee in de war is.
15-07-2013, 17:17 door Spiff has left the building
Door Anoniem, 14:02 uur:
Aangezien het niet mogelijk is MSXML 4.0 SP2 en SP3 naast elkaar te installeren vermoed ik dat de claim dat je SP2 niet zomaar door SP3 mag vervangen bullshit is.
Immers zodra er een pakket geïnstalleerd wordt wat SP3 installeert of vraagt dat te zoen zou de boel meteen instorten?
De versies die je naast elkaar kunt installeren zijn de major releases 4.0 6.0 (5.0 zit alleen in office).
Ik denk dat men daar mee in de war is.
Microsoft beweert uiteraard niet dat het vervangen van MSXML 4.0 SP2 door MSXML 4.0 SP3 de boel doet instorten.
MSXML 4.0 SP3 is immers beschikbaar en bedoeld om MSXML 4.0 SP2 te vervangen.

Maar wel stelde Microsoft in de correspondentie:
Door Microsoft Security Response Center (MSRC):
MSXML4 SP2 is not automatically 'upgraded' to SP3 because this would cause unexpected results on the updated machine.
en
MSXML 4 SP3 is completely different than SP2 and so it could NOT be offered the way we offer service packs on Windows or Office.
Het had de communicatie wellicht nog stroever gemaakt wanneer ik in antwoord daarop had gesteld dat ik dacht dat Microsoft MSRC in de war was en dat wat beweerd werd vermoedelijk bullshit was ;-)

Maar wanneer jij denkt dat Microsoft het waarschijnlijk mis had met dat wat mij medegedeeld werd, dan zou het wellicht nuttig kunnen zijn dat je zelf contact opneemt met Microsoft om dat aan te geven.
Zou je dat doen, dan zou het nuttig zijn wanneer je de uitkomst daarvan dan nog hier zou willen delen. Bedankt alvast.
15-07-2013, 23:42 door wizzkizz
Door Anoniem: Aangezien het niet mogelijk is MSXML 4.0 SP2 en SP3 naast elkaar te installeren vermoed ik dat de
claim dat je SP2 niet zomaar door SP3 mag vervangen bullshit is.
Immers zodra er een pakket geinstalleerd wordt wat SP3 installeert of vraagt dat te zoen zou de boel
meteen instorten?
De versies die je naast elkaar kunt installeren zijn de major releases 4.0 6.0 (5.0 zit alleen in office).
Ik denk dat men daar mee in de war is.
Naar aanleiding van deze post heb ik mijn versie van MSXML nog maar eens gechecked en verdomd, ik had ook nog twee installaties van 4.0 SP2 staan, wel beiden een ander KB. De precieze KB nummers weet ik helaas niet meer. Ik heb direct SP3 gedownload en geïnstalleerd en kon ze gewoon beiden naast elkaar hebben. (In ieder geval geïnstalleerd hebben staan, weet niet of de programma's die MSXL4.0 nodig hebben correct gefunctioneerd zouden hebben.) Uiteraard de SP2 versies verwijderd, tot nu toe geen problemen ondervonden. Dank Spiff!
16-07-2013, 00:59 door Spiff has left the building
Door wizzkizz, 15-7, 23:42 uur:
Ik heb direct SP3 gedownload en geïnstalleerd en kon ze gewoon beiden naast elkaar hebben. [...]
Uiteraard de SP2 versies verwijderd, tot nu toe geen problemen ondervonden.
Bedoel je MSXML 4.0 SP2 en MSXML 4.0 SP3 naast elkaar?
Dat is opvallend.
Gezien het feit dat MSXML 4.0 SP3 een volledige vervanging is voor MSXML 4.0 SP2 verwachtte ik dat bij installatie van MSXML 4.0 SP3 de MSXML 4.0 SP2 verwijderd zou worden.

Had je wel de MSXML 4.0 SP3 download gebruikt die ik vermeldde?
http://www.microsoft.com/en-us/download/details.aspx?id=15697

En hoe zag je dat MSXML 4.0 SP2 en MSXML 4.0 SP3 naast elkaar aanwezig waren (als dat was wat je bedoelde)?
Heb je een zoekopdracht uitgevoerd met zoekterm msxml4.dll ?
Vond je in de resultaten werkelijk zowel msxml4.dll SP2 als ook msxml4.dll SP3?
Waar?
In een van deze mappen?
C:\Windows\System32
C:\Windows\SysWOW64 (enkel op x64 systemen)
Of in mappen van specifieke applicaties waarmee MSXML 4.0 was meegeïnstalleerd?
Of in Configuratiescherm\ Programma's en onderdelen\ Een programma verwijderen of wijzigen?

Of betrof de SP2 versie van msxml4.dll mogelijk exemplaren in C:\Windows\winsxs\ ?
In C:\Windows\winsxs\ staan kopieën van bestanden, ook kopieën van oude bestandsversies.
Ik sluit niet uit dat je daar nog kopieën van msxml4.dll SP2 kunt vinden nadat MSXML 4.0 SP2 verwijderd is bij installeren van MSXML 4.0 SP3.

Weet je nog waar je msxml4.dll SP2 versies vond?
Zou je dat niet meer weten, dan wordt het wellicht lastig dat nog te achterhalen, gezien het feit dat je die versie inmiddels al verwijderd hebt.

Ten slotte -
Of het nodig is om MSXML 4.0 SP2 te verwijderen wanneer die blijft staan na het installeren van MSXML 4.0 SP3, dat weet ik niet.
Na het installeren van MSXML 4.0 SP3 en het vervolgens uitvoeren van Windows Update en het installeren van de dan aangeboden patch voor MSXML 4.0 hoort MSXML 4.0 gepatched te zijn. Ik zie geen duidelijke reden waarom een eventueel achtergebleven MSXML 4.0 SP2 dan per se verwijderd zou moeten worden.

Naar analogie met Windows servicepacks (die niet verwijderd worden bij installatie van een volgend servicepack) zou het niet verwijderen van MSXML 4.0 SP2 na het installeren van MSXML 4.0 SP3 logisch lijken.
Echter, het feit dat MSXML 4.0 SP3 een volledige vervanging is voor MSXML 4.0 SP2 maakt die servicepacks slecht te vergelijken met Windows servicepacks.

Ik heb hier dus duidelijkheid noch zekerheid over.

Met je melding dat na installatie van MSXML 4.0 SP3 de versies MSXML 4.0 SP2 en MSXML 4.0 SP3 naast elkaar aanwezig waren (áls dat was wat je bedoelde), wordt die MSXML 4.0 materie nóg weer een beetje ingewikkelder.
16-07-2013, 10:53 door Anoniem
Ik denk nog steeds dat er iemand in de war is wbt de verschillen tussen release levels en SP levels.
Het lijkt me tamelijk onwaarschijnlijk dat MSXML 4.0 SP3 incompatible is met SP2. Het betreft immers
dezelfde DLL file in de system32 directory.
Dit antwoord is neem ik aan fout en is bedoeld voor de vraag "kan ik MSXML 4.0 vervangen door MSXML 6.0".
Dat kan inderdaad niet, dat zijn verschillende dingen.

Maar maak eerst maar eens een lijst van applicaties die MSXML 4.0 nodig hebben en welk SP level.
Dan wordt het wat makkelijker te bepalen waar we het eigenlijk over hebben.
16-07-2013, 12:12 door Spiff has left the building
Inmiddels heb ik ook gepost op de Full Disclosure Mailing List.
Zie:
http://lists.grok.org.uk/pipermail/full-disclosure/2013-July/091027.html
of hier: http://seclists.org/fulldisclosure/2013/Jul/156

Ik had gewacht met posten op de Full Disclosure Mailing List, omdat ik twijfelde of de Full Disclosure Mailing List wel bedoeld is voor een verwijzing naar zoiets als dit betreffende probleem.
Het betreft immers geen nieuwe kwetsbaarheid of vergelijkbaar nieuws, maar 'slechts' oud nieuws waarvan velen niet op de hoogte zijn.
Hoort een verwijzing naar dit probleem wel op de Full Disclosure Mailing List, zo bleef ik me afvragen.
Maar omdat het een serieus probleem betreft dat alle aandacht kan gebruiken die ik er maar op weet te vestigen, heb ik uiteindelijk toch besloten te posten op Full Disclosure Mailing List.
16-07-2013, 13:13 door wizzkizz
Door Spiff:
Door wizzkizz, 15-7, 23:42 uur:
Ik heb direct SP3 gedownload en geïnstalleerd en kon ze gewoon beiden naast elkaar hebben. [...]
Uiteraard de SP2 versies verwijderd, tot nu toe geen problemen ondervonden.
Bedoel je MSXML 4.0 SP2 en MSXML 4.0 SP3 naast elkaar?
Dat is opvallend.
Gezien het feit dat MSXML 4.0 SP3 een volledige vervanging is voor MSXML 4.0 SP2 verwachtte ik dat bij installatie van MSXML 4.0 SP3 de MSXML 4.0 SP2 verwijderd zou worden.

Had je wel de MSXML 4.0 SP3 download gebruikt die ik vermeldde?
http://www.microsoft.com/en-us/download/details.aspx?id=15697

En hoe zag je dat MSXML 4.0 SP2 en MSXML 4.0 SP3 naast elkaar aanwezig waren (als dat was wat je bedoelde)?
(...)
Of in Configuratiescherm\ Programma's en onderdelen\ Een programma verwijderen of wijzigen?
Deze dus. Had verder geen in-depth search uitgevoerd op de verschillende mogelijke bestandslocaties.

Na update:
In system32: geen (wel MSXML 3.0 SP11 en MSXML 6.0 SP3)
In SysWOW64: MSXML 4.0 SP3 (4.30.2117.0) (en eveneens MSXML 3.0 SP11 en MSXML 6.0 SP3)

In winsxs inderdaad ook nog 3 kopieën van msxml4: MSXML 4.0 SP1 (4.10.9404.0), MSXML 4.0 SP3 (4.30.2100.0), MSXML 4.0 SP3 (4.30.2117.0). Voor elke kopie van msxml4.dll staat er overigens ook een kopie van msxml4r.dll met hetzelfde versienummer.

Ik heb inderdaad de genoemde pagina uit het Download Center gebruikt.
16-07-2013, 13:29 door Spiff has left the building
Door wizzkizz, 13:13 uur:
Deze dus.
Um.. ik begrijp niet goed wat je bedoelt.

Je beschrijft de locatie van MSXML 4.0 SP3, en tevens ook van MSXML 3.0 en MSXML 6.0 versies.
Je beschrijft echter geen locatie van een exemplaar van MSXML 4.0 SP2.
Uit je bericht van gisteren 15-7, 23:42 uur, meende ik te begrijpen dat je na het installeren van MSXML 4.0 SP3 ook nog MSXML 4.0 SP2 aantrof.
Heb ik je verkeerd begrepen, of weet je inmiddels niet meer waar je na het installeren van MSXML 4.0 SP3 ook nog MSXML 4.0 SP2 aantrof omdat je die verwijderd hebt?
Het is me niet duidelijk wat je bedoelt.
16-07-2013, 14:00 door wizzkizz
Door Spiff:
Door wizzkizz, 13:13 uur:
Deze dus.
Um.. ik begrijp niet goed wat je bedoelt.

Je beschrijft de locatie van MSXML 4.0 SP3, en tevens ook van MSXML 3.0 en MSXML 6.0 versies.
Je beschrijft echter geen locatie van een exemplaar van MSXML 4.0 SP2.
Uit je bericht van gisteren 15-7, 23:42 uur, meende ik te begrijpen dat je na het installeren van MSXML 4.0 SP3 ook nog MSXML 4.0 SP2 aantrof.
Heb ik je verkeerd begrepen, of weet je inmiddels niet meer waar je na het installeren van MSXML 4.0 SP3 ook nog MSXML 4.0 SP2 aantrof omdat je die verwijderd hebt?
Het is me niet duidelijk wat je bedoelt.
Met deze dus bedoelde ik mijn selectieve geknip in je reactie, dus dat ik het in het configuratiescherm zag staan bij Programma's en onderdelen\ Een programma verwijderen of wijzigen. Daar zag ik dus twee installaties van MSXML4.0 SP2 staan, elk met een KB-nummer dat ik niet meer weet (geen screenshot gemaakt uiteraard) nadat ik MSXML 4.0 SP3 had gedownload en geïnstalleerd.

Ik heb eveneens middels het configuratiescherm beide installaties van MSXML 4.0 SP2 verwijderd, vandaar dat deze niet terug komt in de versies die ik rapporteer in mijn vorige post. Deze versies zijn namelijk de versies die ik aantrof na het installeren van MSXML 4.0 SP3 én het verwijderen van beide installaties van MSXML 4.0 SP2.
16-07-2013, 14:20 door Spiff has left the building
Door Anoniem, 10:53 uur:
Ik denk nog steeds dat er iemand in de war is wbt de verschillen tussen release levels en SP levels.
Het lijkt me tamelijk onwaarschijnlijk dat MSXML 4.0 SP3 incompatible is met SP2. Het betreft immers dezelfde DLL file in de system32 directory.
Dit antwoord is neem ik aan fout en is bedoeld voor de vraag "kan ik MSXML 4.0 vervangen door MSXML 6.0".
Dat kan inderdaad niet, dat zijn verschillende dingen.
Gezien de strekking van wat je aangeeft, vermoed ik dat je dezelfde poster bent als de oningelogde poster van zo.14-7, 10:57 uur, zo.14-7, 18:13 uur, en ma.15-7, 14:02 uur. (Ingelogd posten maakt de correspondentie overzichtelijker ;-)
Ik vind het prima dat je je vermoeden een aantal keren herhaalt, maar het verandert jammer genoeg niets aan de situatie.


Verder, allereerst, en opnieuw:

Niemand beweert dat MSXML 4.0 SP3 incompatible zou zijn met MSXML 4.0 SP2.
Dat zou immers onzinnig zijn.
Want MSXML 4.0 SP3 is immers beschikbaar en bedoeld om MSXML 4.0 SP2 te vervangen.
Wat Microsoft wel aangaf was:
Door Microsoft Security Response Center (MSRC):
MSXML4 SP2 is not automatically 'upgraded' to SP3 because this would cause unexpected results on the updated machine.
MSXML 4 SP3 is completely different than SP2 and so it could NOT be offered the way we offer service packs on Windows or Office.
Dat is niet hetzelfde als dat MSXML 4.0 SP3 incompatible zou zijn met MSXML 4.0 SP2.


En verder, ten tweede:

Ik heb het eerder al aangegeven, en ik benadruk het ook nu weer:
Ik heb aan Microsoft zeer nadrukkelijk en met herhaling aangegeven waarop ik doelde,
en Microsoft heeft enige malen het standpunt herhaald dat Microsoft zich niet verantwoordelijk voelt een probleem op te lossen met een programmaversie die niet meer ondersteund wordt, én dat Microsoft MSXML 4.0 SP2 niet automatisch kon/wilde upgraden naar MSXML 4.0 SP3 toen MSXML 4.0 SP2 nog wél ondersteund werd.

En zoals ik al aangaf, de communicatie met Microsoft was al stroef genoeg.
Wanneer ik had aangegeven dat Microsoft mogelijk in de war was met MSXML versies, dan had dat zeker niet geholpen.

Zoals ik gisteren, ma.15-7, 17:17 uur al aangaf:
Wanneer jij denkt dat Microsoft het mis had met dat wat mij medegedeeld werd, dan zou het nuttig zijn dat je dan zelf contact opneemt met Microsoft om dat aan te geven.
En zou je dat doen, dan zou het nuttig zijn wanneer je de uitkomst daarvan dan hier zou willen delen. Bedankt alvast.


Door Anoniem, 10:53 uur:
Maar maak eerst maar eens een lijst van applicaties die MSXML 4.0 nodig hebben en welk SP level.
Dan wordt het wat makkelijker te bepalen waar we het eigenlijk over hebben.
Ik heb geen idee welke applicaties er allemaal MSXML 4.0 nodig hebben en met welke SP levels.
Ik ben ermee bezig geweest te proberen daar informatie over te vinden, maar dat leverde zeer weinig op.
Wil jij dat uitzoeken, dan zou dat nuttig zijn, zeker wanneer je daarna contact op wilt nemen met Microsoft betreffende deze materie.


Krijg jij het voor elkaar om Microsoft tot een ander inzicht te brengen,
en krijg je daarmee Microsoft zover het probleem op te lossen van het niet via Windows Update aanbieden van MSXML 4.0 SP3 voor MSXML 4.0 SP2 en het daaruit volgende probleem van het niet aanbieden van KB2758694 (eerder KB2721691) via Windows Update, dan zou dat prachtig zijn.
Ikzelf zie me daartoe gezien mijn ervaringen met Microsoft niet in staat.
Jij bent echter een ander persoon, dus wie weet krijg jij Microsoft wél om.

Oprecht heel veel succes toegewenst.
16-07-2013, 14:33 door Spiff has left the building
Door wizzkizz, 14.00 uur:
Met deze dus bedoelde ik mijn selectieve geknip in je reactie, dus dat ik het in het configuratiescherm zag staan bij Programma's en onderdelen\ Een programma verwijderen of wijzigen. Daar zag ik dus twee installaties van MSXML4.0 SP2 staan, elk met een KB-nummer dat ik niet meer weet (geen screenshot gemaakt uiteraard) nadat ik MSXML 4.0 SP3 had gedownload en geïnstalleerd.

Ik heb eveneens middels het configuratiescherm beide installaties van MSXML 4.0 SP2 verwijderd, vandaar dat deze niet terug komt in de versies die ik rapporteer in mijn vorige post. Deze versies zijn namelijk de versies die ik aantrof na het installeren van MSXML 4.0 SP3 én het verwijderen van beide installaties van MSXML 4.0 SP2.
Ha, volkomen duidelijk nu, dankjewel, wizzkizz.
En interessant.

Maar dat wat ik om 00:59 uur stelde, dat onduidelijk is of het nodig was om MSXML 4.0 SP2 te verwijderen, dat blijft echter wel gelden. Ik heb vooralsnog geen antwoord op die vraag.
Zoals ik toen al aangaf: na het installeren van MSXML 4.0 SP3 en het vervolgens uitvoeren van Windows Update en het installeren van de dan aangeboden patch voor MSXML 4.0 hoort MSXML 4.0 gepatched te zijn. Ik zie geen reden waarom een achtergebleven MSXML 4.0 SP2 dan verwijderd zou moeten worden.
16-07-2013, 18:01 door Anoniem
Door Spiff:
Niemand beweert dat MSXML 4.0 SP3 incompatible zou zijn met MSXML 4.0 SP2.
Dat zou immers onzinnig zijn.
Want MSXML 4.0 SP3 is immers beschikbaar en bedoeld om MSXML 4.0 SP2 te vervangen.
Wat Microsoft wel aangaf was:
Door Microsoft Security Response Center (MSRC):
MSXML4 SP2 is not automatically 'upgraded' to SP3 because this would cause unexpected results on the updated machine.
MSXML 4 SP3 is completely different than SP2 and so it could NOT be offered the way we offer service packs on Windows or Office.
Dat is niet hetzelfde als dat MSXML 4.0 SP3 incompatible zou zijn met MSXML 4.0 SP2.
[/qoute]

Niet? Nou dan weet ik het niet meer. Het is niet incompatible maar het geeft wel unexpected results als je
het upgrade. Wat voor unexpected results dan?

En ik ga het niet uitzoeken want ik vind het een non-problem. Op de machines op het werk staat alleen
MSXML 4.0 SP3 en de fix KB2758694, ik vind het allemaal wel prima.
Ik schat in dat het aantal systemen met SP2 erop plus een applicatie waarmee de vulnerability uit te buiten
is erg beperkt is, en bovendien vind ik vulnerabilities die in user context zitten toch al nooit zo belangrijk.
Dan moeten de mensen maar niet de hele dag als admin werken, eigen schuld dikke bult.
16-07-2013, 21:22 door Spiff has left the building
Door Anoniem, 18:01 uur:
Nou dan weet ik het niet meer. Het is niet incompatible maar het geeft wel unexpected results als je het upgrade. Wat voor unexpected results dan?
Goeie vraag, maar dat moet je niet mij vragen maar Microsoft.

Alleen al voor de antwoorden die ik wel gekregen heb, en die inderdaad nog een hoop onbeantwoord laten, daarvoor heb ik al veel moeite moeten doen. Op sommige vragen kreeg ik simpelweg helemaal geen reactie van Microsoft.

Ik herken veel in de uitspraak vanTavis Ormandy die vorige week nog aangestipt werd in een andere thread op Security.nl, "Note that Microsoft treat vulnerability researchers with great hostility, and are often very difficult to work with."
Ik gaf vorig week al aan dat ik geen ervaring heb met contacten met Microsoft in de rol van beveiligingsonderzoeker, maar mijn eigen contacten met Microsoft lieten eveneens zien dat er zeer moeilijk prettig is te communiceren met Microsoft en dat Microsoft wanneer het erop aankomt een bijna vijandig onverschillig standpunt inneemt.
Ik heb er daardoor niet meer uit kunnen halen dan dat wat ik in mijn rapportage hierboven heb weergegeven.
Iedereen die daarop voort wil bouwen, of die het zelf op een andere manier wil proberen, die wens ik oprecht veel succes toe.


Door Anoniem, 18:01 uur:
ik ga het niet uitzoeken want ik vind het een non-problem. Op de machines op het werk staat alleen MSXML 4.0 SP3 en de fix KB2758694, ik vind het allemaal wel prima.
Ik schat in dat het aantal systemen met SP2 erop plus een applicatie waarmee de vulnerability uit te buiten is erg beperkt is
Dat je het niet gaat uitzoeken dat is uiteraard jouw keuze. Gezien de ontoegankelijkheid van Microsoft geef ik je daarin gelijk, maar gezien je interesse en kritische vragen bij een en ander vind het oprecht jammer dat jij niet met de materie aan de gang gaat, want wie weet wat jij misschien had kunnen bereiken bij jouw contact met Microsoft.

Een non-probleem is deze zaak echter beslist niet.
Dat jij op de systemen die je hebt onderzocht geen MSXML 4.0 SP2 hebt aangetroffen betekent niet dat het voorkomen ervan zeldzaam is. Op zat systemen staat geen MSXML 4.0 SP2, maar op zat systemen ook wél, en in dat geval dan met ontbrekende MSXML patch.
De ongepatchte MSXML kwetsbaarheid komt akelig veel voor.
Zie de weergave in de Secunia rapportages die ik noemde in de startposts van deze thread:
http://www.secunia.com/?action=fetch&filename=PSI-Country-Report-(NL)-(2013Q1).pdf
http://www.secunia.com/?action=fetch&filename=PSI-Country-Report-(US)-(2013Q1).pdf
http://www.secunia.com/resources/countryreports/
en het Security.nl artikel dat daarop gebaseerd is:
https://www.security.nl/artikel/46519/1/Top_10_van_minst_gepatchte_programma%27s_in_Nederland.html
16-07-2013, 22:19 door Anoniem
Ja maar MSXML is helemaal geen programma!
Het is een library.
Je moet eerst op zoek naar een programma wat deze library gebruikt.
Vandaar mijn vraag om daar eerst eens een lijst van te maken. Ik ken er niet een.
En dan moet je er nog een vinden die geinstalleerd is in de tijd voor SP3. 22 januari 2009 was dat.
Pas dan begin je in de buurt van een vulnerability te komen. In de buurt.
17-07-2013, 00:47 door Spiff has left the building
Door Anoniem, 22:19 uur:
Ja maar MSXML is helemaal geen programma!
Het is een library.
Je moet eerst op zoek naar een programma wat deze library gebruikt.
Vandaar mijn vraag om daar eerst eens een lijst van te maken. Ik ken er niet een.
Dezelfde Anoniem/ oningelogde reageerder weer?
Je begint zo zachtjes aan de indruk te geven dat je je er wat te gemakkelijk vanaf maakt, door wel vragen te blijven stellen bij een en ander en alles in twijfel te trekken, maar je er zelf niet in te verdiepen. Althans, die indruk geef je me.
Ik geef toe dat mijn post 1+2 in Engels en 3+4 in Nederlands erg uitgebreid was, maar toch zou je de van daaruit gelinkte informatie eens kunnen bekijken. Je geeft de indruk dat je dat in het geheel niet hebt gedaan. Je gaf eerder al de indruk de Secunia-bron niet bekeken te hebben, en nu is in ieder geval duidelijk dat je déze bron niet bekeken hebt:
http://support.microsoft.com/kb/269238/en
Bekijk je die bron, dan zie je in ieder geval al een aantal Microsoft applicaties die MSXML 4.0 gebruikten.

Door Anoniem, 22:19 uur:
En dan moet je er nog een vinden die geïnstalleerd is in de tijd voor SP3. 22 januari 2009 was dat.
Ik sluit beslist niet uit dat er ook daarna nog software was die bij installatie MSXML 4.0 SP2 mee-installeerde.
Want MSXML 4.0 SP2 werd immers nog tot april 2010 ondersteund.
En misschien werd zelfs na april 2010 nog wel MSXML 4.0 SP2 meegeïnstalleerd bij de installatie van sommige non-Microsoft software, ook al werd MSXML 4.0 SP2 toen al niet meer ondersteund.
Iemand die MSXML 4.0 SP2 op zijn/haar systeem aantreft zou kunnen onderzoeken wanneer dat geïnstalleerd is (en misschien zelfs samen met wat).


Ik denk niet dat ik je verder nog wat te bieden heb, Anoniem.
Mijn vier posts van woensdag 10 juli, de twee Engelse en de twee Nederlandstalige start-posts, waren in principe alles dat ik te bieden had. De enige aanvulling die ik nog heb aangebracht is de informatie betreffend KB2758694 die ik heb toegevoegd na de reactie van Anoniem, vr.12-7, 23:48 uur.

Verder kan ik je niets bieden om je blij te maken.
Wil je meer weten, dan kun je de door mij gelinkte informatie bekijken voor zover je dat nog niet hebt gedaan, en vervolgens zelf verder zoeken waar ik opgehouden ben.
Succes.
23-07-2013, 16:01 door Spiff has left the building
Eerder vermeldde ik dat ik ook zekerheidshalve Secunia had ingelicht, voor het geval dat die iets kan met de zaak.
Secunia berichtte dat mijn melding onder beoordeling was.

Inmiddels heb ik een reactie van Secunia ontvangen:
We analysed the issue and concluded that if there is a way to prove that the bundled libraries are vulnerable then it would increase the amount of pressure on the vendor to issue a fix.
Without an exploitation vector, the bundled libraries are dormant and thus do not pose as a direct threat to users.
Ik heb daar vervolgens op geantwoord:
Yes, but June 2012 there was a vulnerability and an exploitation vector, and for MSXML 4.0 SP2 there is still a vulnerability and probably still the same exploitation vector.
June 2012 the Microsoft XML vulnerability was under active exploitation, see:
http://googleonlinesecurity.blogspot.nl/2012/06/microsoft-xml-vulnerability-under.html
That was why Microsoft published the MSXML patches, July 10, 2012, see:
http://technet.microsoft.com/en-us/security/bulletin/ms12-043
And that should have fixed the MSXML vulnerability issue,
however, not for MSXML 4.0 SP2, as MSXML 4.0 SP2 was no longer supported and did not receive security update KB2721691 (or later KB2758694, that replaced KB2721691, January 8, 2013).
The MSXML vulnerability is still unpatched for MSXML 4.0 SP2 on those systems that have MSXML 4.0 SP2 on it and not MSXML 4.0 SP3.
That is the serious MSXML update issue to which I referred in my report at Security.nl

23-07-2013, 16:05 door Spiff has left the building
Dubbel-post verwijderd,
die was ontstaan door een hikje in het reactie-systeem.
23-07-2013, 19:35 door Anoniem
Door Spiff:
Inmiddels heb ik een reactie van Secunia ontvangen:
We analysed the issue and concluded that if there is a way to prove that the bundled libraries are vulnerable then it would increase the amount of pressure on the vendor to issue a fix.
Without an exploitation vector, the bundled libraries are dormant and thus do not pose as a direct threat to users.

Ok hetzelfde dus als wat ik je ook al schreef. Je kunt niks met die MSXML 4.0 als je niet met een programma kunt
komen wat hem aanroept vanuit een situatie waarin er data heen gestuurd wordt die van internet komt.

Die security advisory waar jij mee komt heeft het over internet explorer en office, en biedt fixes aan voor operating
systems en office. Zoals je ziet werkt office met MSXML 5.0 dus die vector kunnen we verder vergeten.
Internet explorer 6 die bij XP zat werkt met MSXML 4.0 maar als die netjes geupdate is naar 8.0 dan werkt die
met MSXML 6.0 dus die kunnen we ook vergeten.

Zijn we dus weer terug bij het vinden van een applicatie die nu nog op systemen staat, die lang geleden geinstalleerd
is, en die wijd verspreid is.
En dan zou het ook nog interessant kunnen zijn om er een te vinden die met SP2 wel en met SP3 niet werkt.
23-07-2013, 22:04 door Spiff has left the building
@ Anoniem 19:35 uur,

Ja, ik zag dat wat Secunia aangaf duidelijk raakte aan een van de dingen die jij eerder aangaf.
En net als jij heb ik geen vector kunnen aanwijzen via welke een kwetsbaarheid in MSXML 4.0 SP2 misbruikt kon worden.
Met wat geluk is dit alles een storm in een glas water.
Dat zou prachtig zijn.
Maar ik ben anders dan jij nog niet gerust.
We kennen een aantal Microsoft applicaties die gebruik maakten van MSXML 4.0, en dat was niet alleen IE6, maar ook een aantal andere programma's,
zie http://support.microsoft.com/kb/269238/en.
Ik weet niet of misschien geen van de actuele versies van die Microsoft applicaties nog gebruik maakt van MSXML 4.0, of dat mogelijk huidige versies van de vermelde applicaties nog steeds gebruik maken van MSXML 4.0.
En daarnaast werd MSXML 4.0 ook meegeïnstalleerd met applicaties van derden, zoals hier vermeld:
http://en.wikipedia.org/wiki/MSXML
Gezien het feit dat we niet eens een idee hebben welke applicaties dat betroffen/betreffen, is hierbij helemaal moeilijk vast te stellen of daarbij een eventuele aanvals-vector zou kunnen bestaan en mogelijk nog steeds bestaat.
Verdraaid veel onzekerheden, vind ik.
Vanwege al die onzekerheden vind ik het nog steeds verstandig om ten minste te checken of MSXML 4.0 SP2 (ongepatched) aanwezig is op systemen.
Is MSXML 4.0 SP2 aanwezig en de beheerder/gebruiker is in staat om te analyseren of daarmee een aanvals-vector bestaat of zou kunnen bestaan, dan kan die beheerder/gebruiker beoordelen of het nodig is MSXML 4.0 SP2 te updaten/upgraden naar MSXML 4.0 SP3 zodat de patch daarvoor toegepast kan worden, of niet.
Een gebruiker die die beoordeling niet kan maken en die MSXML 4.0 SP2 aantreft, die kan er veiligheidshalve simpelweg voor kiezen te updaten/upgraden naar MSXML 4.0 SP3 zodat de patch toegepast kan worden, 'voor alle zekerheid'.

Ik vind om bovengenoemde redenen de materie nog steeds beslist de aandacht waard.
24-07-2013, 23:21 door Anoniem
Gelukkig wordt security.nl echt gelezen door de mensen die er toe doen (dank Sander).
Ik neem aan dat door Sander's blog artikel in ieder geval aandacht aan wordt geschonken, en wellicht triggert het nog iets bij Microsoft.

http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2013/07/24/security-thoughts-are-you-still-running-xml-core-services-msxml-4-0-with-service-pack-2-in-your-environment.aspx
25-07-2013, 15:14 door Spiff has left the building
Door Anoniem, wo.24-7, 23:21 uur:
Gelukkig wordt security.nl echt gelezen door de mensen die er toe doen (dank Sander).
Ik neem aan dat door Sander's blog artikel in ieder geval aandacht aan wordt geschonken, en wellicht triggert het nog iets bij Microsoft.

Security Thoughts: Are you still running XML Core Services (MSXML) 4.0 with Service Pack 2 in your environment?

http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2013/07/24/security-thoughts-are-you-still-running-xml-core-services-msxml-4-0-with-service-pack-2-in-your-environment.aspx

Dankjewel voor het vermelden, Anoniem,
en dankjewel voor de mooie blogpost, Sander Berkouwer, goed werk!
30-07-2013, 09:46 door GeminiAlpha
@spiff heb in het verleden 1/2 cent bijgedragen aan dit fenomeen, maar ben intussen in deze complexe toestand allang afgehaakt. Echter bij MS nog wat gesurfd en daar nog de volgende ingang gevonden.
http://social.technet.microsoft.com/Forums/security/en-US/home
Kan totaal niet inschatten of dit een mogelijke ingang is (misschien weer maar een 1/2 cent...)
Mijn goede oude Va zei altijd:"Niet geschoten,altijd mis!".
Mannen, veel succes op de moeilijke weg!
30-07-2013, 10:58 door Spiff has left the building
Door GeminiAlpha:
heb in het verleden 1/2 cent bijgedragen aan dit fenomeen
Je hebt gelijk, dat was in de thread waar het probleem met MSXML 4.0 SP2 voor het eerst duidelijk werd, een jaar geleden:
https://www.security.nl/artikel/42204/1/Patch_XML_core_services_is_uit%21.html

Door GeminiAlpha:
maar ben intussen in deze complexe toestand allang afgehaakt.
Echter bij MS nog wat gesurfd en daar nog de volgende ingang gevonden.
http://social.technet.microsoft.com/Forums/security/en-US/home
Microsoft TechNet zou inderdaad best een interessante ingang geweest kunnen zijn, wellicht veel meer dan Microsoft Community, waar Microsoft Nederland me naar verwees.
Echter, nadat ik na frustrerende ervaringen met Microsoft Community uiteindelijk direct contact heb opgenomen met Microsoft Security Response Center (MSRC)
http://www.microsoft.com/security/msrc/whatwedo.aspx
http://www.microsoft.com/security/msrc/report.aspx
en MSRC na beoordeling van de zaak duidelijk te kennen gaf dat Microsoft zich niet verantwoordelijk acht het beschreven probleem met MSXML 4.0 SP2 op te lossen en daartoe geen actie zal ondernemen, ging en ga ik er vanuit dat ik verder niets direct bij Microsoft kon en kan bereiken.
Directer dan MSRC kon nauwelijks, denk ik.
De ingang via Microsoft TechNet Forums is toch weer indirecter en alles hangt daarbij af van wie mijn posting opmerkt en en of die dat zou kunnen doorspelen naar een Microsoft afdeling die er toe doet in deze zaak.
Gezien de Microsoft opstelling die bleek uit de Microsoft feedback die volgde na de bemiddeling van Microsoft Community forumbeheer en die later tevens bleek uit de reactie direct van Microsoft Security Response Center, schat ik de kans dat ik via Microsoft TechNet Forums een doorbraak kan bereiken bij Microsoft bijzonder klein in.

Echter, wel zou Microsoft TechNet Forums nog een manier kunnen zijn om de materie breder onder de aandacht te brengen, zoals ik bedoelde in deze thread in mijn post van 11-07-2013, 00:00 uur, waar ik vroeg, "(Op) welke sites zal ik naar het bovenstaande verwijzen om die informatie zo breed mogelijk onder de aandacht te krijgen?"
Inmiddels zijn verwijzingen gepost op Reddit en op de Full Disclosure Mailing List, maar een verwijzing op Microsoft TechNet Forums kan er best ook nog bij. Ik kan daarbij dan tevens verwijzen naar Sander Berkouwers blogpost.
Nogmaals, ik verwacht niet dat ik daarmee wat gedaan krijg bij Microsoft, maar het kan wel helpen om de materie breder onder de aandacht te brengen.
Ik zal dat later vandaag of een van de komende dagen dan maar eens even doen.

Bedankt voor de tip, GeminiAlpha.


[wijziging: correctie van typo]
30-07-2013, 12:52 door Spiff has left the building
Als vervolg op mijn reactie van vandaag 10:58 uur,

Nou, dat gaat lekker op Microsoft TechNet Forums.
Wil je daar posten onder de forum-categorie Security, dan moet gekozen worden uit de forums EMET Support, MBSA (Microsoft Baseline Security Analyzer), of Rights Management Services. Buiten dat zijn er géén security-forum afdelingen. Absurd! Ja, er kan wel gepost worden onder bijvoorbeeld Windows 7 IT Pro, Windows 7 Security, maar dat lijkt me een duidelijk minder geschikt forum, gezien het feit dat de materie beslist niet enkel Windows 7 betreft.
Heeft iemand misschien een goede suggestie welk TechNet forum te selecteren?

Alhoewel, bij nader inzien,
de reacties van de grijnzende moderator in een eerdere thread die raakt aan dezelfde materie, dat doet het ergste vrezen voor reacties op mijn verwijzing naar het probleem met MSXML 4.0 SP2.
Zie:
http://social.technet.microsoft.com/Forums/security/en-US/a80315a2-0f5d-4cd9-ab7c-9189c99ce445/msxml-40-sp3-not-in-wsus-updates

De structuur van Microsoft TechNet Forums, gecombineerd met dergelijke reacties van een moderator, dat doet de frustratie over Microsoft Community & TechNet al weer stevig toenemen. Aarrgghh!

Gezien het feit dat ik inschat dat de balans tussen een mogelijke toegevoegde waarde van posten op Microsoft TechNet Forums en de potentiële ergernis zwaar aan de kant van de ergernis zal liggen, zie ik af van posten op Microsoft TechNet Forums.
Ik heb me eerder al meer dan genoeg moeten ergeren.
30-07-2013, 15:48 door AdHd
@Spiff:
Ik heb hier intern werk (mail) van geprobeerd te maken bij MS TechNet en MSDN, en heb hierop tijdens mijn vakantie welgeteld één (1) niet-officiële, en behoorlijk onduidelijke reactie gekregen met louter informatie die ik al had.
In een poging je frustratie en ergernis een beetje weg te nemen geef ik mijn interpretatie na wat eigen onderzoek en ruggespraak met de verschillende collega's:

MSXML 3.0, 5.0 en 6.0 (de versies waar het niet over gaat dus) zijn standaard-onderdelen van verschillende MS-Windows (OS) en MS-applicaties, zoals IE, Office & Visual Studio. Al deze versies worden bijgehouden door MS-update, indien van toepassing.

MSXML 4.0 is specifiek uitgebracht om 3rd-party applicaties te ondersteunen, als SDK dus. De (critical) patches / SP3 die zijn uitgebracht voor MSXML 4.0 zijn dus niet van toepassing op de kwetsbaarheden die MSXML in bijvoorbeeld IE en Office (uitvoeren van code).
Wél zouden specifieke applicaties die XML-data kunnen laden via MSXML 4.0 SP2 (waaronder veel spellen, blijkbaar) theoretisch kwetsbaar kunnen zijn. Deze kwetsbaarheid is echter niet zomaar op afstand te misbruiken, aangezien XML door applicaties enkel lokaal kan worden gelezen, of hooguit van vooraf bepaalde, externe locaties (als onderdeel van updates bijvoorbeeld). De kwetsbaarheden in MSXML 4.0 SP2 zijn dus niet generiek, maar enkel aanwezig bij specifieke applicaties, waarbij dan ook nog bewuste interactie van de gebruiker vereist is. Ook zou de aanvaller in kwestie relatief veel werk moeten verrichten om een kleine doelgroep te bereiken, met lage kans op succes (XML kan niet versleuteld worden geladen, de embedded code is dus makkelijk te lezen door een AV e.d. nog vóór deze kan worden uitgevoerd).

Tot slot is het mij eerder al opgevallen dat onze patch-cyclus op het werk wél MSXML 4.0 SP3 heeft meegenomen (wellicht als onderdeel van een 3rd-party patch, kan ik nog nazoeken indien noodzakelijk), maar MS-Update voor mij als particulier niet.

Met dit alles in het achterhoofd kom ikzelf dan toch tot de conclusie dat het wellicht niet "netjes" is van MS om MSXML 4.0 SP3 niet onder te brengen in MS-Update, maar wel begrijpelijk. Niet alleen zijn de kwetsbaarheden in MSXML 4.0 in feite te verwaarlozen, deze vallen uiteindelijk ook nog eens onder de verantwoordelijkheid van de ontwikkelaars van de applicaties die MSXML 4.0 gebruiken, zoals altijd met SDK's. Dit neemt niet weg dat iedereen er goed aan doet de laatste versie te installeren, al is het maar om e.e.a. uit te sluiten.

MVG
30-07-2013, 16:41 door Spiff has left the building
@ AdHd,

Hartelijk bedankt voor je bijdrage.

Je schreef onder meer,
Door AdHd:
Ik heb hier intern werk (mail) van geprobeerd te maken bij MS TechNet en MSDN
Kun je misschien ook de URL's van die threads aangeven, zodat ik daar ook nog even naar kan kijken?
Je gaf aan dat het je geen nieuwe informatie bood, maar misschien is het voor een ander toch nog interessant om even te zien.
EDIT:
O, wellicht bedoelde je geen forum-threads, maar e-mail, realiseer ik me nu ik je formulering nog eens bekijk.
Ik vraag uiteraard niet dat je die hier gaat posten. Mijn eerdere verzoek komt daarmee dan te vervallen.

Door AdHd:
MSXML 4.0 is specifiek uitgebracht om 3rd-party applicaties te ondersteunen, als SDK dus.
Het ondersteunde echter ook wat Microsoft applicaties, zie:
http://support.microsoft.com/kb/269238/en
Ik weet niet of misschien geen van de actuele versies van die Microsoft applicaties nog gebruik maakt van MSXML 4.0, of dat mogelijk nog in gebruik zijnde versies van de vermelde applicaties nog stééds gebruik maken van MSXML 4.0.
En inderdaad, daarnaast was MSXML 4.0 bedoeld om om 3rd-party applicaties te ondersteunen, zoals hier ook vermeld:
http://en.wikipedia.org/wiki/MSXML

Door AdHd:
Wél zouden specifieke applicaties die XML-data kunnen laden via MSXML 4.0 SP2 (waaronder veel spellen, blijkbaar) theoretisch kwetsbaar kunnen zijn. Deze kwetsbaarheid is echter niet zomaar op afstand te misbruiken, aangezien XML door applicaties enkel lokaal kan worden gelezen, of hooguit van vooraf bepaalde, externe locaties (als onderdeel van updates bijvoorbeeld). De kwetsbaarheden in MSXML 4.0 SP2 zijn dus niet generiek, maar enkel aanwezig bij specifieke applicaties, waarbij dan ook nog bewuste interactie van de gebruiker vereist is. Ook zou de aanvaller in kwestie relatief veel werk moeten verrichten om een kleine doelgroep te bereiken, met lage kans op succes (XML kan niet versleuteld worden geladen, de embedded code is dus makkelijk te lezen door een AV e.d. nog vóór deze kan worden uitgevoerd).
Dat is mooi, dat betekent dat het netto risico van de kwetsbaarheid beperkt is.
Kun je misschien ook aangeven wat de bron of bronnen van die informatie is of zijn?

Door AdHd:
Met dit alles in het achterhoofd kom ikzelf dan toch tot de conclusie dat het wellicht niet "netjes" is van MS om MSXML 4.0 SP3 niet onder te brengen in MS-Update, maar wel begrijpelijk. Niet alleen zijn de kwetsbaarheden in MSXML 4.0 in feite te verwaarlozen, deze vallen uiteindelijk ook nog eens onder de verantwoordelijkheid van de ontwikkelaars van de applicaties die MSXML 4.0 gebruiken, zoals altijd met SDK's.
Mmm.. ik weet het niet.
Formeel ligt de verantwoordelijkheid dan wel bij de ontwikkelaars van de applicaties die MSXML 4.0 gebruiken/gebruikten, maar Microsoft was degene die MSXML 4.0 primair beschikbaar stelde. Ik vind het te gemakkelijk om de verantwoordelijkheid dan volledig bij de ontwikkelaars van de 3rd-party applicaties te leggen, en tevens onverantwoord, omdat we er slecht zicht op hebben welke applicaties en ontwikkelaars dat betreffen en of die ontwikkelaars verantwoordelijk gedrag aan de dag leggen/legden bij het in het oog houden van MSXML 4.0 security.

Door AdHd:
Dit neemt niet weg dat iedereen er goed aan doet de laatste versie te installeren, al is het maar om e.e.a. uit te sluiten.
Dat ben ik uiteraard volkomen met je eens, zoals je zult begrijpen :-)


[wijziging: edit in eerste gedeelte van deze reactie, zie aldaar]
31-07-2013, 11:32 door AdHd
@Spiff:
Door Spiff:
Hartelijk bedankt voor je bijdrage.

Je gaf aan dat het je geen nieuwe informatie bood, maar misschien is het voor een ander toch nog interessant om even te zien.
EDIT:
O, wellicht bedoelde je geen forum-threads, maar e-mail, realiseer ik me nu ik je formulering nog eens bekijk.
Ik vraag uiteraard niet dat je die hier gaat posten. Mijn eerdere verzoek komt daarmee dan te vervallen.
Graag gedaan. Ik had het wat duidelijker mogen formuleren, maar ik heb inderdaad via e-mail contact gehad.
Mochten er nog bruikbare reacties komen, dan ben ik natuurlijk wel bereid deze naar je door te sturen.


Door Spiff:
Door AdHd:
MSXML 4.0 is specifiek uitgebracht om 3rd-party applicaties te ondersteunen, als SDK dus.
Het ondersteunde echter ook wat Microsoft applicaties, zie:
http://support.microsoft.com/kb/269238/en
Ik weet niet of misschien geen van de actuele versies van die Microsoft applicaties nog gebruik maakt van MSXML 4.0, of dat mogelijk nog in gebruik zijnde versies van de vermelde applicaties nog stééds gebruik maken van MSXML 4.0.
Interessant, zo leer ik iedere dag weer wat bij.
Dat neemt echter niet weg dat enkel de XML-parser (het specifieke MSXML-onderdeel dat zorgt voor een "vertaling" van XML-data naar JavaScript) kwetsbaar is. Zolang de applicaties in kwestie geen gebruik maken van deze specifieke functie, zijn deze ook niet kwetsbaar. Vandaar dat de kwetsbaarheid dus in IE zit, waarvan geen enkele versie MSXML 4.0 gebruikt.


Door Spiff:
Dat is mooi, dat betekent dat het netto risico van de kwetsbaarheid beperkt is.
Kun je misschien ook aangeven wat de bron of bronnen van die informatie is of zijn?
Ik ben MSCA & MSCE (SI) gecertificeerd (niet dat dat zo heel veel zegt), en heb het hierover uitgebreid gehad met een collega / vriend die volledig MCSD gecertificeerd is (wat wel veel zegt op dit gebied). Om vervolgens te begrijpen waar de kwetsbaarheid (in IE, door de MSXML-parser) zit, moet je o.a. weten wat XML & JS zijn, wat MSXML hiermee kan doen, en wat dus de mogelijke gevolgen zijn. Heel lullig gezegd: https://www.google.nl/search?q=JS+MSXML (No pun intended.)

Poging tot uitleg:
Het komt er op neer dat XML-data zelf 100% onschuldig is, aangezien dit niet-uitvoerbare code betreft.
Pas als specifiek geprepareerde xml-data door een (on-gepatchte) MSXML-parser wordt omgezet in JS (JavaScript), kan xml-data worden omgezet in uitvoerbare code. Deze kwetsbaarheid is (in principe) alléén van toepassing op IE, en enkel en alleen icm met JS. Zolang andere applicaties geen XML omzetten in JS via MSXML 4.0 SP2, zijn deze dus ook niet kwetsbaar. Mocht je voorbeelden hebben van applicaties, MS of 3rd-party, die wél MSXML 4.0 gebruiken om XML naar JS om te zetten (plug-ins bijvoorbeeld?), dan hoor ik het graag, dan kunnen we vanuit daar ook weer verder.


Door Spiff:
Door AdHd:
Met dit alles in het achterhoofd kom ikzelf dan toch tot de conclusie dat het wellicht niet "netjes" is van MS om MSXML 4.0 SP3 niet onder te brengen in MS-Update, maar wel begrijpelijk.
Mmm.. ik weet het niet.
Formeel ligt de verantwoordelijkheid dan wel bij de ontwikkelaars van de applicaties die MSXML 4.0 gebruiken/gebruikten, maar Microsoft was degene die MSXML 4.0 primair beschikbaar stelde. Ik vind het te gemakkelijk om de verantwoordelijkheid dan volledig bij de ontwikkelaars van de 3rd-party applicaties te leggen, en tevens onverantwoord, omdat we er slecht zicht op hebben welke applicaties en ontwikkelaars dat betreffen en of die ontwikkelaars verantwoordelijk gedrag aan de dag leggen/legden bij het in het oog houden van MSXML 4.0 security.
Ik snap de moraal van je verhaal, maar zo gaat dat nu eenmaal met SDK's. Naar mijn mening zijn de ontwikkelaars méér verantwoordelijk voor hun eigen werk dan MS dat is, en aangezien veel 3rd-party applicaties ook nog eens closed-source zijn, is het al helemaal niet aan MS om te bepalen welke SDK(-versie) er nodig is om een bepaalde applicatie te kunnen draaien.

Dat MSXML 4.0 SP3 volledig compatibel zou moeten zijn met SP2 is eigenlijk de enige reden dat ik het netjes had gevonden als ze de SP3-patch gewoon hadden uitgerold via MS-Update.
Maar nogmaals, MS is niet de partij die de dit kan, mag of moet willen verifiëren, dus ik vind het uiteindelijk wel begrijpelijk dat het allemaal zo is gelopen.

EDIT: typo
31-07-2013, 11:48 door Spiff has left the building
@ AdHd,

Heel hartelijk bedankt voor je toelichtingen en uitleg.
Het is complexe materie.
Ik zal een en ander nog eens een paar keer moeten lezen voordat alle kennis goed wil beklijven, denk ik.
31-07-2013, 13:20 door AdHd
@Spiff
Door Spiff:
@ AdHd,

Heel hartelijk bedankt voor je toelichtingen en uitleg.
Het is complexe materie.
Ik zal een en ander nog eens een paar keer moeten lezen voordat alle kennis goed wil beklijven, denk ik.
Graag gedaan. Ik heb ook tijd & ruggespraak nodig gehad om te komen tot mijn vorige reacties. Daarnaast zijn wat andere dingetjes die me interesseren boven komen drijven door je melding en mede daarom ook jij (nogmaals) oprecht bedankt voor alle tijd en moeite die je hebt geïnvesteerd in het hele update-gebeuren rondom MSXML 4.0!

Als ik een goed-bedoeld advies mag geven, richt je dan in het begin op de al bekende (drinkplaats-)kwetsbaarheden in IE icm on-gepatchte MSXML 6.0 (en vervolgens eventueel Office) om e.e.a. te kunnen begrijpen zonder er een hele universitaire studie van te hoeven maken, voor jezelf een schematisch diagrammetje tekenen wil daarbij ook nog wel eens helpen om het overzicht te bewaren.

Aangezien ik er even tussenuit ben geweest heb ik niet eerder gereageerd, helaas zijn er inmiddels heel wat reacties gekomen die deels kloppen en wat verdere uitleg (zouden kunnen) behoeven, maar het is IMHO nu niet meer mogelijk om hier overzichtelijk op te reageren zonder dat dat me te veel tijd gaat kosten. Mochten er alsnog dingen echt onduidelijk blijven, hoor ik het graag in ieder geval. Wel wil ik nog even melden dat het me deugd doet om te lezen dat er meer mensen zijn die het hele MS-help-desk-systeem wel kunnen schieten bij de wat minder gebruikelijke zaken, gelukkig zijn er (hulp-)fora!
31-07-2013, 13:45 door Spiff has left the building
@ AdHd,
Door AdHd:
[...] mede daarom ook jij (nogmaals) oprecht bedankt voor alle tijd en moeite die je hebt geïnvesteerd in het hele update-gebeuren rondom MSXML 4.0
Graag gedaan, hoor.
Nou ja, graag ... ik vond het nodig, gezien het feit dat ik in juni ontdekte dat Microsoft sinds de meldingen van vorig jaar juli niets had gedaan met die kwestie, én gezien het feit dat ik de exacte consequenties ervan niet kon overzien maar het tenminste erg slordig vond dat MSXML 4.0 SP2 niet automatisch geupdate wordt en daardoor in veel gevallen ongepatched blijft.

Door AdHd:
[...] Wel wil ik nog even melden dat het me deugd doet om te lezen dat er meer mensen zijn die het hele MS-help-desk-systeem wel kunnen schieten bij de wat minder gebruikelijke zaken
Haha :-)
Tsja, ik vind het vooral vreemd, dat Microsoft de gebruiker nauwelijks de mogelijkheid biedt om meldingen 'in algemeen belang' te doen buiten Microsoft Community. Het is best begrijpelijk dat gebruikers met individuele problemen daarnaar verwezen worden, maar voor deze betreffende zaak (en ook voor een eerdere melding die ik eens heb gemaakt, over een fout op een Microsoft IE Gallery pagina) vind ik het zot om dat via Microsoft Community te moeten doen. Het zal wel bedoeld zijn ter filtering of zoiets, maar het werkt verdraaid onhandig en ergerlijk.
Maar goed, genoeg daarover nu :-)
13-10-2014, 16:08 door GeminiAlpha
Ben een Windows7-64 & 8.1-64 gebruiker met een beetje meer kennis dan de gemiddelde nederlander.
Al wat ik in dit draadje lees, gaat voor meer dan 90% aan mij voorbij. 'k Blijf echter met 1 vraag zitten. Hoe kom ik er achter of msxml goed op mijn pc staat. Kan ik dat controleren?
Ik MS-update mijn systemen met yzeren regelmaat omdat ik verwacht dat ik dan steeds up-2-date ben. Uit het draadje begrijp ik dat dat voor XML kennelijk niet geldt omdat MS er een rommeltje van heeft gemaakt.

Ben een Dropbox gebruiker en deze gebruikt bij installatie, zo vermoed ik, XML. Na een uninstall van een oude Dropbox versie (die nooit automatisch werd geüpdate) heb ik geprobeerd een nieuwe versie te installeren, maar die hangt zichzelf na 84% in de voortgangsbalk op. Ik vermoed dat het wel eens aan "mijn" XML binnen windows7 zou kunnen liggen.
Als ik dát zou willen uitsluiten, zou ik mijn XML-infrastructuur willen kunnen testen. kan dat?
13-10-2014, 19:01 door Spiff has left the building - Bijgewerkt: 13-10-2014, 19:09
Door GeminiAlpha, 13-10-2014, 16:08 uur:
Hoe kom ik er achter of msxml goed op mijn pc staat. Kan ik dat controleren?
Um.. wat bedoel je exact met goed?
Up-to-date geupdate, of zonder fouten in de installatie, of nog wat anders?

Allereerst, deze thread betrof enkel MSXML 4.0, niet de andere MSXML versies.
(https://en.wikipedia.org/wiki/MSXML)

Ten tweede,
MSXML 4 wordt niet meer ondersteund (end of support) sinds 12 april 2014,
zie: https://www.security.nl/posting/396904/MSXML+4+end+of+support

Ten derde, MSXML 4.0 is niet altijd aanwezig op een systeem, want zeker niet altijd nodig.
Is MSXML 4.0 wel aanwezig op een systeem, en wil je zekerheidshalve controleren of daarvoor ook MSXML 4.0 SP3 en de updates daarvoor aanwezig zijn, dan kun je dat onderzoeken zoals in het begin van deze thread is uitgelegd:
Engels: https://www.security.nl/posting/41791/MS+ignores+XML+update+issue
Nederlands: https://www.security.nl/posting/41791#posting357669
N.B. Zoals eerder aangegeven, dat betreft enkel MSXML 4.0, niet de andere MSXML versies.


Door GeminiAlpha, 13-10-2014, 16:08 uur:
Ben een Dropbox gebruiker en deze gebruikt bij installatie, zo vermoed ik, XML.
Ik weet het niet. Misschien iemand anders?
Waarop baseer je precies je veronderstelling dat Dropbox XML gebruikt, kun je dat aangeven?
En welke XML versie? (https://en.wikipedia.org/wiki/MSXML)

Door GeminiAlpha, 13-10-2014, 16:08 uur:
[...] zou ik mijn XML-infrastructuur willen kunnen testen. kan dat?
Ik weet het niet. Misschien iemand anders?
En ook hier weer, over welke XML-versie(s) hebben we het?

Zelfs als je vraag MSXML 4.0 betreft, lijkt de strekking van je probleem en van je vragen anders dan wat in deze thread aan de orde geweest is. Betreft je vraag niet slechts het wel of niet up-to-date hebben van MSXML 4.0 (alhoewel inmiddels niet meer ondersteund), dan is het wellicht raadzaam een eigen nieuwe thread te starten met je vragen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.