Beveiligingsupdate voor Skype voor Bedrijven en Microsoft Lync voor het oplossen van openbaarmaking van gegevens (3105872)
Gepubliceerd: 10 november 2015
Versie: 1.0
Samenvatting
Met deze beveiligingsupdate wordt een beveiligingsprobleem in Skype voor Bedrijven en Microsoft Lync opgelost. Het beveiligingsprobleem kan openbaarmaking van informatie toestaan als een aanvaller een doelgebruiker uitnodigt voor een chatsessie en die gebruiker vervolgens een bericht verzendt dat speciaal gemaakte JavaScript-inhoud bevat.
Deze beveiligingsupdate heeft de classificatie Belangrijk voor alle ondersteunde edities van Skype voor Bedrijven 2016, Microsoft Lync 2013 en Microsoft Lync 2010; het wordt ook beoordeeld als Belangrijk voor bepaalde onderdelen van Microsoft Lync Room System. Zie de sectie Beïnvloede software voor meer informatie.
Met de beveiligingsupdate wordt het beveiligingsprobleem opgelost door te corrigeren hoe Skype voor Bedrijven en Microsoft Lync-clients inhoud opschonen. Zie de sectie Informatie over beveiligingsproblemen voor meer informatie over het beveiligingsprobleem.
De volgende softwareversies of -edities worden beïnvloed. Versies of edities die niet worden vermeld, vallen na de levenscyclus van de ondersteuning of worden niet beïnvloed. Zie Microsoft Ondersteuning Levenscyclus om de levenscyclus van de ondersteuning voor uw softwareversie of -editie te bepalen.
[1]Voordat u deze update installeert, moet 2965218 en be 3039779 veiligingsupdate zijn geïnstalleerd. Zie de veelgestelde vragen over updates voor meer informatie.
Waarom worden sommige updatebestanden in dit bulletin ook vermeld in het Microsoft Office-bulletin van november, MS15-116?
Verschillende updatebestanden die worden vermeld in dit bulletin, MS15-123, worden ook aangeduid in MS15-116 vanwege overlappingen in betrokken software. Hoewel de twee bulletins afzonderlijke beveiligingsproblemen aanpakken, zijn de beveiligingsupdates waar mogelijk en passend geconsolideerd. Daarom zijn sommige identieke updatebestanden aanwezig in beide bulletins. Houd er rekening mee dat identieke updatebestanden met meerdere bulletins niet meer dan één keer hoeven te worden geïnstalleerd.
Zijn er vereisten voor een van de updates die in dit bulletin worden aangeboden voor betrokken edities van Microsoft Lync 2013 (Skype voor Bedrijven)?
Ja. Klanten met betrokken edities van Microsoft Lync 2013 (Skype voor Bedrijven) moeten eerst de 2965218-update voor Office 2013 installeren die in april 2015 is uitgebracht en vervolgens de 3039779 beveiligingsupdate die is uitgebracht in mei 2015. Zie voor meer informatie over deze twee vereiste updates:
Waarom is de update voor Lync 2010 Attendee (installatie op gebruikersniveau) alleen beschikbaar via het Microsoft Downloadcentrum?
Microsoft brengt de update voor Lync 2010 Attendee (installatie op gebruikersniveau) alleen uit in het Microsoft Downloadcentrum . Omdat de installatie op gebruikersniveau van Lync 2010 Attendee wordt verwerkt via een Lync-sessie, zijn distributiemethoden zoals automatisch bijwerken niet geschikt voor dit type installatiescenario.
Informatie over het beveiligingsprobleem
Beveiligingsprobleem met openbaarmaking van gegevens voor serverinvoervalidatie - CVE-2015-6061
Er bestaat een beveiligingsprobleem met betrekking tot openbaarmaking van informatie wanneer Skype voor Bedrijven en Microsoft Lync-clients speciaal gemaakte inhoud onjuist opschonen. Een aanvaller die het beveiligingsprobleem heeft misbruikt, kan HTML- en JavaScript-inhoud uitvoeren in de context van Skype voor Bedrijven of Lync. De aanvaller kan dit beveiligingsprobleem gebruiken om een webpagina te openen met behulp van de standaardbrowser, een andere berichtensessie te openen met een derde partij of mogelijk URI's te activeren die zijn gedefinieerd door andere toepassingen op het systeem van de client.
Om misbruik te maken van het beveiligingsprobleem kan een aanvaller een doelgebruiker uitnodigen voor een chatsessie en die gebruiker vervolgens een bericht met speciaal samengestelde JavaScript-inhoud verzenden. De update lost het beveiligingsprobleem op door te corrigeren hoe Skype voor Bedrijven en Microsoft Lync-clients inhoud opschonen.
Microsoft heeft informatie ontvangen over dit beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen. Op het moment dat dit beveiligingsbulletin oorspronkelijk werd uitgegeven, wist Microsoft niet dat er aanvallen werden uitgevoerd om dit beveiligingsprobleem te misbruiken.
Factoren beperken
Microsoft heeft geen beperkende factoren voor dit beveiligingsprobleem geïdentificeerd.
Tijdelijke oplossingen
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd
Implementatie van beveiligingsupdates
Zie het Microsoft Knowledge Base-artikel waarnaar wordt verwezen in het executive-overzicht voor informatie over de implementatie van beveiligingsupdates.
Erkenningen
Microsoft herkent de inspanningen van degenen in de beveiligingscommunity die ons helpen klanten te beschermen via gecoördineerde openbaarmaking van beveiligingsproblemen. Zie Bevestigingen voor meer informatie.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
V1.0 (10 november 2015): Bulletin gepubliceerd.
Pagina gegenereerd 2015-11-11 12:25-08:00.</https:>
As an Information Security Administrator, you plan and implement information security of sensitive data by using Microsoft Purview and related services. You’re responsible for mitigating risks by protecting data inside collaboration environments that are managed by Microsoft 365 from internal and external threats and protecting data used by AI services. You also implement information protection, data loss prevention, retention, insider risk management, and manage information security alerts and activities.