Microsoft Security Bulletin MS15-123 - Wichtig

Sicherheitsupdate für Skype for Business und Microsoft Lync zur Offenlegung von Informationen (3105872)

Veröffentlicht: 10. November 2015

Version: 1.0

Kurzfassung

Dieses Sicherheitsupdate behebt eine Sicherheitsanfälligkeit in Skype for Business und Microsoft Lync. Die Sicherheitsanfälligkeit könnte die Offenlegung von Informationen ermöglichen, wenn ein Angreifer einen Zielbenutzer zu einer Chatsitzung einlädt und dem Benutzer dann eine Nachricht sendet, die speziell gestaltete JavaScript-Inhalte enthält.

Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Skype for Business 2016, Microsoft Lync 2013 und Microsoft Lync 2010 als wichtig eingestuft; sie wird auch für bestimmte Microsoft Lync Room System-Komponenten als wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Skype for Business- und Microsoft Lync-Clients Inhalte sanitieren. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Abschnitt "Sicherheitsrisikeninformationen ".

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3105872.

Betroffene Software

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Microsoft Communications Platforms and Software

Software Sicherheitsanfälligkeit in der Offenlegung von Informationen zur Servereingabe – CVE-2015-6061 Ersetzte Updates
Microsoft Skype for Business 2016
Skype for Business 2016 (32-Bit) \ (3085634) Wichtige Offenlegung von Informationen 2910994 in MS15-097
Skype for Business Basic 2016 (32-Bit) (3085634) Wichtige Offenlegung von Informationen 2910994 in MS15-097
Skype for Business 2016 (64-Bit) \ (3085634) Wichtige Offenlegung von Informationen 2910994 in MS15-097
Skype for Business Basic 2016 (64-Bit) \ (3085634) Wichtige Offenlegung von Informationen 2910994 in MS15-097
Microsoft Lync 2013
Microsoft Lync 2013 Service Pack 1 (32-Bit) \ (Skype for Business)[1](3101496) Wichtige Offenlegung von Informationen 3085500 in MS15-097
Microsoft Lync Basic 2013 Service Pack 1 (32-Bit)\ (Skype for Business Basic)[1] \ (3101496) Wichtige Offenlegung von Informationen 3085500 in MS15-097
Microsoft Lync 2013 Service Pack 1 (64-Bit) \ (Skype for Business)[1]\ (3101496) Wichtige Offenlegung von Informationen 3085500 in MS15-097
Microsoft Lync Basic 2013 Service Pack 1 (64-Bit)[1]\ (Skype for Business Basic) \ (3101496) Wichtige Offenlegung von Informationen 3085500 in MS15-097
Microsoft Lync 2010
Microsoft Lync 2010 (32-Bit) \ (3096735) Wichtige Offenlegung von Informationen 3081087 in MS15-097
Microsoft Lync 2010 (64-Bit) \ (3096735) Wichtige Offenlegung von Informationen 3081087 in MS15-097
Microsoft Lync 2010 Attendee[2]\ (Installation auf Benutzerebene) \ (3096736) Wichtige Offenlegung von Informationen 3081088 in MS15-097
Microsoft Lync 2010 Attendee \ (Installation auf Administratorebene) \ (3096738) Wichtige Offenlegung von Informationen 3081089 in MS15-097
Microsoft Lync Room System
Microsoft Lync Room System \ (für SMART Room System) \ (3108096) Wichtige Offenlegung von Informationen Keine
Microsoft Lync Room System \ (für Crestron RL) \ (3108096) Wichtige Offenlegung von Informationen Keine

[1]Bevor Sie dieses Update installieren, müssen Sie update 2965218 und Sicherheitsupdate 3039779 installiert haben. Weitere Informationen finden Sie in den häufig gestellten Fragen zu Updates.

[2]Dieses Update ist nur im Microsoft Download Center verfügbar.

Häufig gestellte Fragen zum Aktualisieren

Warum werden einige der Updatedateien in diesem Bulletin auch im Microsoft Office-Bulletin vom November, MS15-116, aufgeführt?
Einige der in diesem Bulletin, MS15-123, aufgeführten Updatedateien werden auch in MS15-116 aufgrund von Überlappungen in der betroffenen Software bezeichnet. Obwohl die beiden Bulletins separate Sicherheitsrisiken behandeln, wurden die Sicherheitsupdates nach Möglichkeit und angemessen konsolidiert. Aus diesem Grund sind einige identische Updatedateien in beiden dieser Bulletins vorhanden. Beachten Sie, dass identische Updatedateien, die mit mehreren Bulletins versenden, nicht mehr als einmal installiert werden müssen.

Gibt es Voraussetzungen für alle in diesem Bulletin angebotenen Updates für betroffene Editionen von Microsoft Lync 2013 (Skype for Business)?
Ja. Kunden, die betroffene Editionen von Microsoft Lync 2013 (Skype for Business) ausführen, müssen zuerst das im April 2015 veröffentlichte 2965218 Update für Office 2013 und dann das im Mai 2015 veröffentlichte 3039779 Sicherheitsupdate installieren. Weitere Informationen zu diesen beiden erforderlichen Updates finden Sie unter:

Warum ist das Update für Lync 2010 Attendee (Installation auf Benutzerebene) nur im Microsoft Download Center verfügbar?
Microsoft veröffentlicht das Update nur für Lync 2010 Attendee (Installation auf Benutzerebene) im Microsoft Download Center . Da die Installation von Lync 2010 Attendee auf Benutzerebene über eine Lync-Sitzung behandelt wird, sind Verteilungsmethoden wie automatische Aktualisierungen für diese Art von Installationsszenario nicht geeignet.

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in der Offenlegung von Informationen zur Servereingabe – CVE-2015-6061

Eine Sicherheitslücke zur Offenlegung von Informationen ist vorhanden, wenn Skype for Business- und Microsoft Lync-Clients speziell gestaltete Inhalte nicht ordnungsgemäß sanieren. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann HTML- und JavaScript-Inhalte im Skype for Business- oder Lync-Kontext ausführen. Der Angreifer könnte diese Sicherheitsanfälligkeit verwenden, um eine Webseite mithilfe des Standardbrowsers zu öffnen, eine andere Messagingsitzung mit einem Drittanbieter zu öffnen oder potenziell URIs auszulösen, die von anderen Anwendungen im Clientsystem definiert werden.

Um die Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer einen Zielbenutzer zu einer Chatsitzung einladen und dem Benutzer dann eine Nachricht senden, die speziell gestaltete JavaScript-Inhalte enthält. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Skype for Business- und Microsoft Lync-Clients Inhalte sanitieren.

Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Zu dem Zeitpunkt, zu dem dieses Sicherheitsbulletin ursprünglich ausgestellt wurde, wusste Microsoft nicht, dass jeder Angriff versucht, diese Sicherheitsanfälligkeit auszunutzen.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den in der Zusammenfassung der Geschäftsleitung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (10. November 2015): Bulletin veröffentlicht.

Seite generiert 2015-11-11 12:25-08:00.</https:>