Die uit redmond worden vrij bot achter je rug om naarbinnen geschoffeld, of je dat wil of niet, terwijl de rest iets anders werkt.

Ik heb mij al vaak afgevraagd wat dat MS XML Core services eigenlijk inhoud, wat voor software gebruikt die services?

Ook de Security.nl redactie besteedde daar al aandacht aan, afgelopen woensdag, 5 juni:
https://www.security.nl/artikel/46519/1/Top_10_van_minst_gepatchte_programma%27s_in_Nederland.html

Dat Microsoft XML Core Services (MSXML) bovenaan het rijtje staat, en dat er een Microsoft component bij staat, specifiek die MSXML, dat schokte me.
Dit met name omdat er vorig jaar juli een probleem bestond met het updaten van MSXML, waarvan ik hoopte dat dat toentertijd opgelost was, vooral omdat ik het probleem toen zelf ook onder de aandacht van Microsoft had gebracht.

Ik ben momenteel bezig te proberen bij Microsoft onder de aandacht te krijgen dat de Microsoft XML Core Services update problemen mogelijk nog steeds niet zijn opgelost.

Juli 2012:
https://www.security.nl/artikel/42204/1/Patch_XML_core_services_is_uit%21.html
Woensdag 5 juni 2013:
https://www.security.nl/artikel/46519/1/Top_10_van_minst_gepatchte_programma%27s_in_Nederland.html
En op 5 juni gepost op Microsoft Community, op aanraden van een Microsoft medewerker, omdat er potdorie geen andere ingang lijkt te zijn om zoiets te kunnen melden:
Microsoft XML Core Services update problemen mogelijk nog steeds niet opgelost
http://answers.microsoft.com/nl-nl/windows/forum/windows_7-windows_update/microsoft-xml-core-services-update-problemen/db974d72-a583-4b4d-a1cd-aaf2bdd8b881


Ten slotte nog,
PSI 2.0 of PSI 3.0?
Met PSI 3.0 heb ik geen ervaring, ik weet alleen dat het Secunia PSI forum sinds versie 3.0 altijd vol is met problemen.
PSI 2.0 werkt uitstekend met zowel Windows 7 x86 als x64.

Problemen met Secunia PSI kun je aankaarten op het PSI forum:
http://secunia.com/community/forum/psi/
En PSI 2.0 is hier te downloaden, onder "Older versions":
http://secunia.com/products/consumer/PSI/sys_req/

@Spiff: Hebben ze je hier al een baan aangeboden? ;-) Wat doe je eigenlijk in het normale leven?

OT: Een aantal van de genoemde applicaties zou zichzelf inmiddels up-to-date kunnen houden, met de juiste instellingen uiteraard. Maar bij Air en Shockwave is het me toch niet helder hoe je zonder extra software nou snel kan controleren of je up-to-date bent.

Bij Java werkt de automatische update check trouwens alleen bij de 32 bits variant. De 64 bits geeft dan een mooie foutmelding.

Vraag me dit ook af... ;)

Wat Microsoft XML Core Services is, dat vind je hier uiteengezet:
http://en.wikipedia.org/wiki/MSXML

Welke software het zoal is die gebruik maakt van MSXML, daarvan ben ik niet op de hoogte.

Wie? Microsoft? Bewaar me!
Ze willen mijn meldingen niet eens, zo leek het vorig jaar juli en ook nu, dus mij willen ze vast ook niet, en ik wil ook niet.

Betreffend mijn melding aan Microsoft, via Microsoft Community, op advies en op verzoek van de Microsoft-medewerker die ik vorige week woensdag sprak -
AARRGGHH !!!
Zo'n melding aan Microsoft via Microsoft Community, dat valt niet mee!
Het ziet er naar uit dat mijn melding vastloopt door de filtering van Microsoft Community.
Zie de reactie van forumbeheerder M.Linssen van 10 juni 2013 in deze thread:
http://answers.microsoft.com/nl-nl/windows/forum/windows_7-windows_update/microsoft-xml-core-services-update-problemen/db974d72-a583-4b4d-a1cd-aaf2bdd8b881


Edit:
@ Mysterio,
O, hier, schreef je. Op Security.nl bedoelde je dan?
Ik pikte dat niet goed op.
Maar in m'n reactie van 18:59 leverde dat misverstandje wel net een mooi bruggetje naar m'n mededeling over mijn melding aan Microsoft ;-)

Het ziet er nu toch naar uit dat de melding "Microsoft XML Core Services update problemen mogelijk nog steeds niet opgelost" opgepakt gaat worden, mede door een waardevolle bijdrage van gebruiker fe_ca in de Microsoft Community thread.
Zie:
http://answers.microsoft.com/nl-nl/windows/forum/windows_7-windows_update/microsoft-xml-core-services-update-problemen/db974d72-a583-4b4d-a1cd-aaf2bdd8b881?page=2

Laatste bericht zojuist:
Wordt vervolgd.


*********************************************************************************************

UPDATE, 11 juli 2013

Zie: https://www.security.nl/artikel/46991/1/MS_ignores_XML_update_issue.html


*********************************************************************************************

Je moet MSXML meer zien als een bibliotheek met XML functies erin voor programeurs
(technisch het is een COM object). Vanuit C++, Javascript en VB kan je die libarary gebruiken
om XML files te interpreteren (zonder dat je dat zelf helemaal hoeft te schrijven).

zie ook: http://msdn.microsoft.com/en-us/library/windows/desktop/ms763742(v=vs.85).aspx

Dankjewel, Anoniem.
Hetzelfde wordt ook aangegeven op de Wikipedia-pagina waarnaar ik verwees.
En in de daar vermelde "External links" wordt ook verwezen naar een MSDN pagina over MSXML met dezelfde inhoud als de pagina waarnaar jij verwees.
Niettemin, dankjewel voor de uitleg.


Aan Cantalibre,
Excuus dat het hier nu met name over MSXML gaat.
Dat volgde uit de schokkende informatie over MSXML in de Secunia rapportage.
Ik hoop dat je jouw probleem met Secunia PSI hebt kunnen aankaarten op het PSI forum. Ik hoop dat je er een reactie krijgt waar je wat aan hebt.
Zo niet, en je zou PSI 3.0 gebruiken, dan is het proberen van PSI 2.0 ook een optie, zoals ik eerder al aangaf. Het enige daarmee is dat het geen volledig geautomatiseerde updates kan verzorgen zoals PSI 3.0. Wens je beslist gebruik te maken van de volledig geautomatiseerde updates door Secunia PSI 3.0, dan zul je toch je probleem op het PSI forum moeten aankaarten, in de hoop dat je zo een oplossing vindt. Veel succes toegewenst.


[wijziging: Cantalibre neergezet in vet/bold]

@ Cantalibre: Sinds het uitkomen van Secunia 3.0 (begin 2012) zijn de meningen verdeeld over het nut van dit programma. Waar eerdere versies vooral een ondersteuning waren bij het zoeken naar update's, probeert 3.0 dit geheel zelfstandig te doen. Omdat er nogal wat software is die niet volledig kan worden bijgewerkt via Secunia, kan het dus voorkomen dat gebruikers een vals gevoel van veiligheid krijgen als gevolg van het vertrouwen in dit programma, zeker omdat er bij eerdere versies het nogal eens voorkwam dat Secunia de melding gaf dat het systeem volledig up-to-date was, terwijl dit niet het geval was.
Ik weet niet hoe dit zit bij de meest recente versie (Mei 2013), maar dat dit niet handig is lijkt me zachtjes uitgedrukt.

Voor de meeste lezers van Security.nl zal dit vanzelfsprekend geen enkel probleem opleveren, maar voor een substantiële groep eind-gebruikers kan dit resulteren in een kwetsbaar systeem. Juist deze groep is kwetsbaar voor online dreigingen, waardoor ik persoonlijk enkel Secunia 2.0 aanraad voor eindgebruikers.

Ik sluit me dus volledig bij je kritiek aan, ware het niet dat ik de hoop op een volledig dekkend update-programma al lang heb laten varen. Dat gezegd hebbende lijkt het me, net zoals Spiff ook al meldde, wellicht een optie om voor Secunia 2.0 te kiezen. http://secunia.com/PSI2Setup.exe

@Thijs452 & Spiff: Zoals Anon 19:17 gisteren al aangaf is MSXML, eenvoudig gezegd, een soort 'framework' voor XML. Het is een standaard onderdeel van MS-Windows en zorgt voor de afhandeling van verschillende talen / scripts in onder andere web-pagina's en office-documenten. Hierdoor is het mogelijk om functies / applicaties / plug-ins te schrijven in andere talen (JS, C++ etc.) en deze toch te laten werken met MS-software zoals IE en MS-Office. Mijn complimenten voor al de tijd en moeite die Spiff (Snowball II) heeft geïnvesteerd in de update-bug van MSXML en de melding hiervan bij MS!

Dank je, AdHd, en ook voor de rest van je reactie.
Wat betreft MSXML, ik ben erg benieuwd hoe dat volgende week opgepakt gaat worden.
Wanneer daar wat goeds uit volgt, dan wil ik dat ook nog even onder de aandacht brengen in een nieuwe thread, in plaats van min of meer verborgen in threads als deze.

O, nog een verlate reactie op de post van Cantalibre,
op iets dat ik eerder over het hoofd zag:
Maar Google Chrome gebruikt toch een auto-updater, die Chrome 'stil' update, als ik me niet vergis?
Chrome hoeft dan toch helemaal niet door middel van Secunia PSI te worden geupdate?
Anders is het wanneer je Chrome auto-update op een of andere wijze hebt uitgeschakeld, dan zul je Chrome handmatig dienen bij te werken met updates.

Damned, programmeurs die dus hun software schrijven met msxml, kan al onveilig worden bestempeld? Best wel dom om nog langer msxml te gebruiken dan. Ik kan het ook niet zomaar verwijderen, of er gaan een paar programma's niet meer goed werken.

Kan iemand een paar meest gebruikte programma's opsommen die gebruik maken van msxml? Ik wil het namelijk niet uittesten op mijn eigen computer. Wie weet dat ik msxml niet eens hoef geinstalleerd te hebben. Bedankt alvast.

Dit naar aanleiding van het probleem met de update van MSXML dat ik aanstipte, bedoel je?
Dat probleem lijkt beperkt tot (een?) specifieke MSXML-versie(s).
Zo uit m'n hoofd weet ik het alleen van MSXML 4.0 SP2, waarvoor niet automatisch MSXML 4.0 SP3 wordt aangeboden en daardoor niet automatisch KB2721691 wordt aangeboden.
Met MSXML 3.0, 4.0 SP3, 5.0 en 6.0 is mogelijk niks mis.

Dat is eerder al gevraagd, maar daar is nog geen antwoord op gekomen.

Een aantal MSXML-versies worden standaard meegeleverd met Windows.
MSXML 3.0 werd meegeleverd met Windows XP en Vista,
MSXML 6.0 werd/wordt meegeleverd met Vista en Windows 7.
MSXML 4.0 daarentegen, "was shipped as an independent, downloadable SDK targeted at Independent Software Vendors and third parties."
Zie: http://en.wikipedia.org/wiki/MSXML
Ik kan niet overzien of deïnstalleren een optie is.
Het in geval van een aanwezige MSXML 4.0 SP2 installeren van MSXML 4.0 SP3 (zodat vervolgens de bijbehorende en noodzakelijk security update wordt aangeboden via Windows Update), dat is wel een optie.
Maar hopelijk pakt Microsoft volgende week mijn melding op, en wordt het MSXML-updatemechanisme gecorrigeerd zodat iedereen die nog MSXML-updates mist die automatisch aangeboden krijgt via Windows Update. Zoals ik al aangaf, in dat geval zal ik dat onder de aandacht brengen in een nieuwe thread, in plaats van min of meer verborgen in threads als deze.

Aan Cantalibre,
Nogmaals excuus voor het feit dat het hier nu met name over MSXML gaat, dat vloeit voort uit de Secunia rapportage waarnaar je verwees, dat gaf ik afgelopen vrijdag ook al aan.
Ik hoop dat je desondanks ook wat hebt gehad aan de reacties van AdHd en mij betreffend Secunia PSI.

Dank voor de duidelijke toelichting en uitleg!

Dat is inderdaad merkwaardig.
Was het een heel recente update, dan kan het zijn dat Chrome's auto-update proces nog niet de juiste trigger had gekregen om de update door te voeren. Was het echter een al even bestaande update, dan is het merkwaardiger.
Maar ik kan er jammer genoeg verder niets zinnigs over zeggen, ik heb zelf geen ervaring met of nadere kennis over Google Chrome's updater.

Het is er in principe voor geschikt en voor bedoeld,
en tevens zijn nut en noodzaak van EMET voor XP nog vele malen groter dan voor Vista, 7 en 8.
Zie vooral dit bericht van vorig jaar:
https://www.security.nl/artikel/41288/1/Gratis_Windows_XP-tool_succes_tegen_hackers.html
en eventueel deze twee vervolgberichten:
https://www.security.nl/artikel/41521/1/Gratis_Windows-tool_wapent_bedrijven_tegen_hackers.html
https://www.security.nl/artikel/42587/Microsoft%3A_wapen_Windows_met_EMET.html

Dat heb ik hier geprobeerd enigszins te beantwoorden, 18:37 uur:
https://www.security.nl/artikel/46673/1/Microsoft_beveiligt_Windows_met_gratis_EMET_4.0.html

Hmm.., ik moet bekennen dat ik niet zeker weet of ik ADD heb eerlijk gezegd.., ik kan het niet uitsluiten.., maar vast staat dat ik AdHd bén, volgens de meeste officiële documenten is mijn roepnaam nog altijd "Ad" ;]

On (meerdere) topics:
-Chrome-updates:
Om niet te diep op de stof in te gaan; Het heeft vooral te maken heeft met de sandbox van Chrome, welke voorkomt dat andere software (lees: "malware") code kan injecteren in het proces. Updaten is ook een vorm van code injecteren...
Bij mijn weten zoekt de auto-update functie van Chrome zo ongeveer één keer (of hooguit enkele keren) per week naar updates, dus het zou inderdaad zo kunnen zijn dat je een (iets) verouderde versie draaide.
Ook is het bij sommige updates noodzakelijk om de browser opnieuw op te starten, wat ook het een en ander zou kunnen verklaren. Mocht het zo zijn dat je bijvoorbeeld van Chrome 25 naar 27 bent gegaan is er wél wat aan de hand natuurlijk!
Waar ik tussendoor wel benieuwd naar ben Cantalibre;
-Werkt de auto-update functie van Avast! wél voor Chrome?

-Wat Secunia betreft:
In het verleden is het voorgekomen dat Secunia 3.0 een prachtig groen lampje met bijbehorende 100% score gaf, waar dat niet helemaal terecht was. Dat het blijkbaar nog steeds vol zit met (kleine) bugs laat ik even in het midden.
Ten tweede is 2.0 een prima hulpmiddel is voor alle Windows gebruikers, waarbij de gebruiker zelf de volledige controle behoudt over het systeem en het tijdstip van updaten.
Dat Secunia 3.0 het systeem veel meer belast dan 2.0 is voor mij persoonlijk van ondergeschikt belang, maar wel een derde, belangrijke reden om 2.0 aan te bevelen. Ik ken meer dan genoeg mensen / organisaties / instellingen die nog met XP of Vista werken op wat oudere hardware, en wie ben ik om daar wat van te zeggen...? Dat neemt niet weg dat juist zij die een wat oudere Windows draaien extra risico lopen!
Wat mooi aansluit op het volgende:


Zoals Spiff al meldt, is EMET zeker een grote aanvulling, vooral op Windows XP (SP3) & Vista!
Ik trek dit stukje van het topic dan ook naar https://www.security.nl/artikel/46673/1/Microsoft_beveiligt_Windows_met_gratis_EMET_4.0.html als dat goed is.