共用方式為


Microsoft 安全性布告欄 MS15-123 - 重要

商務用 Skype 與 Microsoft Lync 的資訊安全更新,以解決資訊洩漏問題 (3105872)

發佈時間: 2015 年 11 月 10 日

版本: 1.0

執行摘要

此安全性更新可解決 商務用 Skype和 Microsoft Lync 中的弱點。 如果攻擊者邀請目標使用者進入立即訊息會話,然後傳送包含特製 JavaScript 內容的訊息,則弱點可能會允許資訊洩漏。

此安全性更新會針對所有支援的 商務用 Skype 2016、Microsoft Lync 2013 和 Microsoft Lync 2010 版本評為 [重要];它也會針對特定 Microsoft Lync 會議室系統元件評為重要。 如需詳細資訊,請參閱 受影響的軟體 一節。

安全性更新會修正 商務用 Skype 和 Microsoft Lync 用戶端如何清理內容,以解決弱點。 如需弱點的詳細資訊,請參閱 弱點資訊 一節。

如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章3105872

受影響的軟體

下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期

Microsoft Communications Platform and Software

軟體 伺服器輸入驗證資訊洩漏弱點 - CVE-2015-6061 更新 已取代
Microsoft 商務用 Skype 2016
商務用 Skype 2016 (32 位) \ (3085634) 重要資訊 洩漏 MS15-097 中的 2910994
商務用 Skype 基本 2016 (32 位) (3085634) 重要資訊 洩漏 MS15-097 中的 2910994
商務用 Skype 2016 (64 位) \ (3085634) 重要資訊 洩漏 MS15-097 中的 2910994
商務用 Skype Basic 2016 (64 位) \ (3085634) 重要資訊 洩漏 MS15-097 中的 2910994
Microsoft Lync 2013
Microsoft Lync 2013 Service Pack 1 (32 位) \ (商務用 Skype)[1](3101496) 重要資訊 洩漏 MS15-097 中的 3085500
Microsoft Lync Basic 2013 Service Pack 1 (32 位)\ (商務用 Skype Basic)[1] \ (3101496) 重要資訊 洩漏 MS15-097 中的 3085500
Microsoft Lync 2013 Service Pack 1 (64 位) \ (商務用 Skype)[1]\ (3101496) 重要資訊 洩漏 MS15-097 中的 3085500
Microsoft Lync Basic 2013 Service Pack 1 (64 位)[1]\ (商務用 Skype Basic) \ (3101496) 重要資訊 洩漏 MS15-097 中的 3085500
Microsoft Lync 2010
Microsoft Lync 2010 (32 位) \ (3096735) 重要資訊 洩漏 MS15-097 中的 3081087
Microsoft Lync 2010 (64 位) \ (3096735) 重要資訊 洩漏 MS15-097 中的 3081087
Microsoft Lync 2010 Attendee[2]\ (用戶層級安裝) \ (3096736) 重要資訊 洩漏 MS15-097 中的 3081088
Microsoft Lync 2010 出席者 \ (系統管理員層級安裝) \ (3096738) 重要資訊 洩漏 MS15-097 中的 3081089
Microsoft Lync Room System
Microsoft Lync Room System \ (適用於 SMART Room System) \ (3108096) 重要資訊 洩漏
Microsoft Lync Room System \ (For Crestron RL) \ (3108096) 重要資訊 洩漏

[1]安裝此更新之前,您必須安裝更新2965218和安全性更新3039779。 如需詳細資訊, 請參閱更新常見問題

[2]此更新僅適用於 Microsoft 下載中心

更新常見問題

為什麼此公告中所列的一些更新檔案也表示於 11 月 Microsoft Office 公告 MS15-116?
此公告中列出的數個更新檔案 MS15-123 也會在 MS15-116 中表示,因為受影響的軟體有重疊。 雖然這兩個布告欄可解決個別的安全性弱點,但安全性更新已盡可能合併並適當。 因此,這兩個公告中都有一些相同的更新檔案。 請注意,與多個布告欄一起傳送的相同更新檔案不需要安裝一次以上。

此公告中針對 Microsoft Lync 2013 (商務用 Skype) 受影響版本所提供的任何更新是否有任何必要條件?
是。 執行受影響版本的 Microsoft Lync 2013 (商務用 Skype) 的客戶必須先安裝 2015 年 4 月發行的 Office 2013 2965218更新,然後安裝 2015 年 5 月發行的3039779安全性更新。 如需這兩個必要條件更新的詳細資訊,請參閱:

為什麼 Lync 2010 出席者(使用者層級安裝)更新只能從 Microsoft 下載中心取得?
Microsoft 只會將 Lync 2010 出席者(用戶層級安裝)的 更新發行至 Microsoft 下載中心 。 由於 Lync 2010 出席者的使用者層級安裝是透過 Lync 會話處理,因此這類的發佈方法不適用於這種類型的安裝案例。

弱點資訊

伺服器輸入驗證資訊洩漏弱點 - CVE-2015-6061

商務用 Skype 和 Microsoft Lync 用戶端不當清理特製內容時,就會存在資訊洩漏弱點。 成功利用弱點的攻擊者可以在 商務用 Skype 或 Lync 內容中執行 HTML 和 JavaScript 內容。 攻擊者可以使用此弱點,使用預設瀏覽器開啟網頁、以第三方開啟另一個訊息會話,或可能觸發客戶端系統上其他應用程式所定義的 URI。

若要惡意探索弱點,攻擊者可以邀請目標使用者立即訊息會話,然後傳送包含特製 JavaScript 內容的訊息給該使用者。 更新會修正 商務用 Skype和 Microsoft Lync 用戶端如何清理內容來解決弱點。

Microsoft 透過協調的弱點洩漏收到此弱點的相關信息。 在最初發出此安全性公告時,Microsoft 並不知道任何嘗試利用此弱點的攻擊。

緩和因素

Microsoft 尚未識別此弱點的任何 緩和因素

因應措施

Microsoft 尚未識別此弱點的任何因應措施

安全性更新部署

如需安全性更新部署資訊,請參閱執行摘要中參考的 Microsoft 知識庫文章。

通知

Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊,請參閱通知。

免責聲明

Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。

修訂記錄

  • V1.0 (2015 年 11 月 10 日): 公告發佈。

頁面產生的 2015-11-11 12:25-08:00。</https:>