Overview of the July 2012 Microsoft patches and their status.
We will update issues on this page for about a week or so as they evolve.
We appreciate updates US based customers can call Microsoft for free patch related support on 1-866-PCSAFETY (*): ISC rating
(**): The exploitability rating we show is the worst of them all due to the too large number of ratings Microsoft assigns to some of the patches. -- -- |
Swa 760 Posts Jul 10th 2012 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Thread locked Subscribe |
Jul 10th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
I assume we can uninstall the fix it from KB 2719615 after patching (with the exception of the one for XML Core Services 5.0)?
|
Anonymous |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 10th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Keep an eye on MSXML 4.0 (look for %SystemRoot%\system32\msxml4.dll). I'm seeing a lot of systems with 4.0 SP2 (i.e. 4.20.9870.0, which was released as MS08-069). The bulletins imply that MS08-069 is replaced by this bulletin, but it appears that MS12-043 2721691 is only applicable to systems that were updated to 4.0 SP3, and I'm seeing at least some instances where Microsoft isn't advertising the 4.0 SP3 update through Windows Update.
|
Anonymous |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 10th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
@Anonymous
My understanding is the MSXML 4.0 SP3 is the only supported version. The update from MSXML 4.0 SP2 did not always seem to happen automatically, so many people will be left unpatched. |
David 11 Posts |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 11th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
@yvesk
See: http://blogs.technet.com/b/srd/archive/2012/07/10/msxml-5-steps-to-stay-protected.aspx |
David 11 Posts |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 11th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
The "MSXML 4.0 SP3 Release Notes" state the following:
1. "Support will end for MSXML 4.0 SP2 in 4/13/2010". 2. "MSXML 4.0 SP3 is not installed or upgraded by default". I agree with David: many people will be left unpatched. How can the Windows world best be alerted to this issue? |
Anonymous |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 11th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
I am confused the release notes for MSXML 4.0 SP3 say it has been superseded by MSXML 6.0 but the supported operating system listed under MSXML 6.0 do not mention Win 7.
Should I be pushing MSXML 6.0 or MSXML 4.0 SP3? |
PW 63 Posts |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 11th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
@pwwobbe
MSXML 6.0 isn't a replacement for MSXML 4.0. If you have MSXML 4.0 installed for legacy applications, you should update to SP3. If you are developing with XML, you should use MSXML 6.0. |
David 11 Posts |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 11th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MBSA 2.2 does NOT flag MSXML 4.0 SP2 as stale: My Win2003 R2 SP2/32-bit servers have msxml4.dll version 4.20.9876.0 , dated 7/21/2009, & have been scanned with MBSA-reliant tools for at least the past 3 years. At no time has MSXML 4sp3 been offered as an "optional" component by Microsoft Update.
I'd suggest that MS address this glaring omission by making a "detection update" such that 4SP3 plus its patches gets offered to systems with a prior version of msxml4. |
David 1 Posts |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 11th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Note that on x64 systems one should look in %SystemRoot%\SysWOW64 as MSXML 4.0 is only available in a 32-bit variant.
|
Anonymous |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 11th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
I'd like to see Microsoft provide a comprehensive list of the MSXML versions that the FixIt 50897 defended. If it only defends the most recent version of 4.0 SP3, then I suspect my systems have been vulnerable to the attacks on 4.0 SP2 for the last month despite deploying the FixIt. I suspect there that two variants of MSXML 4.0 SP2 are wide-spread - 4.0.9870.0 (which is the latest security patch for 4.0 SP2) and 4.0.9876.0 (which is the latest bugfix for 4.0 SP2).
|
Anonymous |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 11th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
http://www.hrmssolutions.com/ iVantage seems to be broken by MS12‑043. This means a critical patch will be delayed by poor code authoring.
|
James 8 Posts |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 12th 2012 8 years ago |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
You can find Microsoft's response to a question posed on the Wednesday webcast at http://blogs.technet.com/b/msrc/p/july-2012-security-bulletin-q-a.aspx (see Q16/A16). I'm not seeing any evidence that their answer to sub-question three is accurate - either they aren't scanning at all, or their scan logic is broken. I'm seeing lots of systems with msxml4.dll 4.20.9876.0 installed and no evidence that "XML Core Service 4.0 Service Pack 3" is being offered.
|
Anonymous |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Quote |
Jul 16th 2012 8 years ago |
Sign Up for Free or Log In to start participating in the conversation!