Microsoft Security Bulletin MS15-123 – Wichtig
Sicherheitsupdate für Skype for Business und Microsoft Lync zum Behandeln der Offenlegung von Informationen (3105872)
Veröffentlicht: 10. November 2015
Version: 1.0
Kurzfassung
Dieses Sicherheitsupdate behebt ein Sicherheitsrisiko in Skype for Business und Microsoft Lync. Die Sicherheitsanfälligkeit kann die Offenlegung von Informationen ermöglichen, wenn ein Angreifer einen Zielbenutzer zu einer Chatsitzung einlädt und dem Benutzer dann eine Nachricht mit speziell gestalteten JavaScript-Inhalten sendet.
Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Skype for Business 2016, Microsoft Lync 2013 und Microsoft Lync 2010 als Wichtig eingestuft. Außerdem wird es für bestimmte Komponenten des Microsoft Lync-Raumsystems als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software .
Das Sicherheitsupdate behebt das Sicherheitsrisiko, indem korrigiert wird, wie Skype for Business und Microsoft Lync-Clients Inhalte bereinigen. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsrisiken .
Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3105872.
Betroffene Software
Die folgenden Softwareversionen oder -editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder ihren Supportlebenszyklus hinter sich oder sind nicht betroffen. Informationen zum Bestimmen des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.
Microsoft-Kommunikationsplattformen und -software
| Software | Sicherheitsanfälligkeit in server input validation information disclosure – CVE-2015-6061 | Updates ersetzt |
|---|---|---|
| Microsoft Skype for Business 2016 | ||
| Skype for Business 2016 (32-Bit) \ (3085634) | Wichtig Offenlegung von Informationen | 2910994 in MS15-097 |
| Skype for Business Basic 2016 (32-Bit) (3085634) | Wichtig Offenlegung von Informationen | 2910994 in MS15-097 |
| Skype for Business 2016 (64-Bit) \ (3085634) | Wichtig Offenlegung von Informationen | 2910994 in MS15-097 |
| Skype for Business Basic 2016 (64-Bit) \ (3085634) | Wichtig Offenlegung von Informationen | 2910994 in MS15-097 |
| Microsoft Lync 2013 | ||
| Microsoft Lync 2013 Service Pack 1 (32-Bit) \ (Skype for Business)[1](3101496) | Wichtig Offenlegung von Informationen | 3085500 in MS15-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (32-Bit)\ (Skype for Business Basic)[1] \ (3101496) | Wichtig Offenlegung von Informationen | 3085500 in MS15-097 |
| Microsoft Lync 2013 Service Pack 1 (64-Bit) \ (Skype for Business)[1]\ (3101496) | Wichtig Offenlegung von Informationen | 3085500 in MS15-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (64-Bit)[1]\ (Skype for Business Basic) \ (3101496) | Wichtig Offenlegung von Informationen | 3085500 in MS15-097 |
| Microsoft Lync 2010 | ||
| Microsoft Lync 2010 (32-Bit) \ (3096735) | Wichtig Offenlegung von Informationen | 3081087 in MS15-097 |
| Microsoft Lync 2010 (64-Bit) \ (3096735) | Wichtig Offenlegung von Informationen | 3081087 in MS15-097 |
| Microsoft Lync 2010 Attendee[2]\ (Installation auf Benutzerebene) \ (3096736) | Wichtig Offenlegung von Informationen | 3081088 in MS15-097 |
| Microsoft Lync 2010 Attendee \ (Installation auf Administratorebene) \ (3096738) | Wichtig Offenlegung von Informationen | 3081089 in MS15-097 |
| Microsoft Lync-Raumsystem | ||
| Microsoft Lync-Raumsystem \ (für SMART Room System) \ (3108096) | Wichtig Offenlegung von Informationen | Keine |
| Microsoft Lync Room System \ (For Crestron RL) \ (3108096) | Wichtig Offenlegung von Informationen | Keine |
[1]Vor der Installation dieses Updates müssen Update-2965218 und Sicherheitsupdate installiert 3039779. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Aktualisieren .
[2]Dieses Update ist nur im Microsoft Download Center verfügbar.
Häufig gestellte Fragen zum Aktualisieren
Warum werden einige der in diesem Bulletin aufgeführten Updatedateien auch im Microsoft Office-Bulletin, MS15-116, im November bezeichnet?
Einige der in diesem Bulletin aufgeführten Updatedateien, MS15-123, werden auch in MS15-116 aufgrund von Überlappungen in der betroffenen Software bezeichnet. Obwohl die beiden Bulletins separate Sicherheitsrisiken behandeln, wurden die Sicherheitsupdates nach Möglichkeit und Angemessen konsolidiert. Aus diesem Grund sind in beiden Bulletins einige identische Updatedateien vorhanden. Beachten Sie, dass identische Updatedateien, die mit mehreren Bulletins versendet werden, nicht mehr als einmal installiert werden müssen.
Gibt es Voraussetzungen für die in diesem Bulletin angebotenen Updates für die betroffenen Editionen von Microsoft Lync 2013 (Skype for Business)?
Ja. Kunden, die betroffene Editionen von Microsoft Lync 2013 (Skype for Business) ausführen, müssen zuerst das im April 2015 veröffentlichte 2965218 Update für Office 2013 und dann das im Mai 2015 veröffentlichte 3039779 Sicherheitsupdate installieren. Weitere Informationen zu diesen beiden erforderlichen Updates finden Sie unter:
Warum ist das Lync 2010 Attendee-Update (Installation auf Benutzerebene) nur im Microsoft Download Center verfügbar?
Microsoft veröffentlicht das Update für Lync 2010 Attendee (Installation auf Benutzerebene) nur im Microsoft Download Center . Da die Installation von Lync 2010 Attendee auf Benutzerebene über eine Lync-Sitzung erfolgt, sind Verteilungsmethoden wie automatische Updates für diese Art von Installationsszenario nicht geeignet.
Informationen zu Sicherheitsrisiken
Sicherheitsanfälligkeit in server input validation information disclosure – CVE-2015-6061
Ein Sicherheitsrisiko bei der Offenlegung von Informationen liegt vor, wenn Skype for Business und Microsoft Lync-Clients speziell gestaltete Inhalte falsch bereinigen. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann HTML- und JavaScript-Inhalte im Skype for Business- oder Lync-Kontext ausführen. Der Angreifer könnte diese Sicherheitsanfälligkeit nutzen, um eine Webseite mit dem Standardbrowser zu öffnen, eine weitere Messagingsitzung mit einem Drittanbieter zu öffnen oder möglicherweise URIs auszulösen, die von anderen Anwendungen auf dem Clientsystem definiert sind.
Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer einen Zielbenutzer zu einer Chatsitzung einladen und dann diesem Benutzer eine Nachricht senden, die speziell gestaltete JavaScript-Inhalte enthält. Das Update behebt das Sicherheitsrisiko, indem korrigiert wird, wie Skype for Business und Microsoft Lync-Clients Inhalte bereinigen.
Microsoft hat informationen zu diesem Sicherheitsrisiko durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Zum Zeitpunkt, zu dem dieses Security Bulletin ursprünglich veröffentlicht wurde, war Microsoft keine Kenntnis von Angriffen, die versuchten, diese Sicherheitsanfälligkeit auszunutzen.
Schadensbegrenzende Faktoren
Microsoft hat keine mildernden Faktoren für dieses Sicherheitsrisiko identifiziert.
Problemumgehungen
Microsoft hat keine Problemumgehungen für dieses Sicherheitsrisiko identifiziert.
Bereitstellung von Sicherheitsupdates
Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung verwiesen wird.
Danksagungen
Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity an, die uns helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter Bestätigungen .
Haftungsausschluss
Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie "wie benährt" bereitgestellt. Microsoft lehnt alle ausdrücklichen oder impliziten Garantien ab, einschließlich der Gewährleistung der Marktgängigkeit und Eignung für einen bestimmten Zweck. Die Microsoft Corporation oder ihre Lieferanten haften in keinem Fall für Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder besonderen Schäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Beschränkung der Haftung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen
- V1.0 (10. November 2015): Bulletin veröffentlicht.
Seite generiert 2015-11-11 12:25-08:00.</https:>