Microsoft Security Bulletin MS15-104 – Wichtig

Sicherheitsrisiken in Skype for Business Server und Lync Server könnten rechteerweiterungen zulassen (3089952)

Veröffentlicht: 8. September 2015 | Aktualisiert: 11. September 2015

Version: 1.1

Kurzfassung

Dieses Sicherheitsupdate behebt Sicherheitsrisiken in Skype for Business Server und Microsoft Lync Server. Die schwerwiegendsten Sicherheitsrisiken können rechteerweiterungen zulassen, wenn ein Benutzer auf eine speziell gestaltete URL klickt. Ein Angreifer müsste Benutzer davon überzeugen, in einem Instant Messenger oder einer E-Mail-Nachricht auf einen Link zu klicken, der sie über eine speziell gestaltete URL zu einer betroffenen Website leitet.

Dieses Sicherheitsupdate ist für alle unterstützten Editionen von Skype for Business Server 2015 und Microsoft Lync Server 2013 wichtig. Weitere Informationen finden Sie im Abschnitt "Betroffene Software" .

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeiten, indem jQuery in Skype for Business Server und Lync Server aktualisiert wird, um die Benutzereingabe ordnungsgemäß zu berachen und zu korrigieren, wie Skype for Business Server und Lync Server benutzereingaben sanitieren. Weitere Informationen zu den Sicherheitsrisiken finden Sie im Abschnitt "Sicherheitsrisikoinformationen ".

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3089952.

Häufig gestellte Fragen zum Aktualisieren

Für Microsoft Lync Server 2013 gibt es erforderliche Komponenten für die Installation des Updates in diesem Bulletin?
Ja. Vor der Installation des Updates für Microsoft Lync Server 2013 muss kumulatives Update 2809243 für Lync Server 2013 installiert werden. Kunden, die die automatische Aktualisierung aktiviert haben, müssen keine Maßnahmen ergreifen, da kumulative Updates automatisch heruntergeladen und installiert werden. Kunden, die die eigenständigen Pakete manuell testen und installieren, müssen sicherstellen, dass das 2809243-Update installiert ist, bevor das in diesem Bulletin aufgeführte Update angewendet wird.

Weitere Informationen zu dem kumulativen Update und einem Downloadlink finden Sie unter Lync Server 2013 Kumulatives Update KB 2809243.

Schweregradbewertungen betroffener Software und Sicherheitsrisiken

Die folgenden Softwareversionen oder Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, sind entweder über ihren Supportlebenszyklus oder nicht betroffen. Informationen zum Ermitteln des Supportlebenszyklus für Ihre Softwareversion oder -edition finden Sie unter Microsoft-Support Lifecycle.

Die für jede betroffene Software angegebenen Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung im September.

Betroffene Software Sicherheitsanfälligkeit in Skype for Business Server und Lync Server XSS zur Offenlegung von Informationen – CVE-2015-2531 Sicherheitsanfälligkeit in Lync Server XSS zur Offenlegung von Informationen – CVE-2015-2532 Sicherheitsanfälligkeit in Skype for Business Server und Lync Server XSS bezüglich Rechteerweiterungen – CVE-2015-2536 Ersetzte Updates*
Microsoft Lync Server 2013
Microsoft Lync Server 2013 (Web Components Server) (3080353) Wichtige Offenlegung von Informationen Wichtige Offenlegung von Informationen Wichtige Rechteerweiterung 2982390 in MS14-055
Skype for Business Server 2015
Skype for Business Server 2015 (3061064) Wichtige Offenlegung von Informationen Nicht zutreffend Wichtige Rechteerweiterung Keine

*Die Spalte "Updates ersetzt" zeigt nur das neueste Update in jeder Kette von abgelösten Updates an. Um eine umfassende Liste der ersetzten Updates zu erhalten, wechseln Sie zum Microsoft Update-Katalog, suchen Sie nach der UPDATE-KB-Nummer, und zeigen Sie dann Updatedetails an (Updates ersetzte Informationen finden Sie auf der Registerkarte "Paketdetails").

Informationen zu Sicherheitsrisiken

Sicherheitsanfälligkeit in Skype for Business Server und Lync Server XSS zur Offenlegung von Informationen – CVE-2015-2531

Eine websiteübergreifende Skripterstellung (XSS)-Sicherheitsanfälligkeit, die zu einer Offenlegung von Informationen führen kann, ist vorhanden, wenn das jQuery-Modul in Skype for Business Server oder in Lync Server speziell gestaltete Inhalte nicht ordnungsgemäß sanitieren kann. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann skripts im Browser des Benutzers ausführen, um Informationen aus Websitzungen abzurufen.

Damit diese Sicherheitsanfälligkeit ausgenutzt werden kann, muss ein Benutzer auf eine speziell gestaltete URL klicken.

In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer sendet und den Benutzer dazu überzeugen konnte, auf die speziell gestaltete URL zu klicken.

In einem webbasierten Angriffsszenario müsste ein Angreifer eine Website hosten, die eine speziell gestaltete URL enthält. Außerdem könnten kompromittierte Websites und Websites, die vom Benutzer bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, solche Websites zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, die Website zu besuchen, in der Regel durch Klicken auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht, die sie über eine speziell gestaltete URL auf die betroffene Website leitet.

Systeme mit betroffenen Editionen von Skype for Business Server oder Microsoft Lync Server sind installiert, und die Clients, die eine Verbindung mit ihnen herstellen, sind durch diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem jQuery in Skype for Business Server und in Lync Server aktualisiert wird, um die Benutzereingabe ordnungsgemäß zu sanieren.

Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ursprünglich ausgegeben wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Sicherheitsanfälligkeit in Lync Server XSS zur Offenlegung von Informationen – CVE-2015-2532

Eine websiteübergreifende Skripting-Sicherheitsanfälligkeit (XSS), die zu einer Offenlegung von Informationen führen kann, ist vorhanden, wenn Lync Server nicht ordnungsgemäß gestaltete Inhalte sanitieren kann. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann skripts im Browser des Benutzers ausführen, um Informationen aus Websitzungen abzurufen.

Damit diese Sicherheitsanfälligkeit ausgenutzt werden kann, muss ein Benutzer auf eine speziell gestaltete URL klicken.

In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer sendet und den Benutzer dazu überzeugen konnte, auf die speziell gestaltete URL zu klicken.

In einem webbasierten Angriffsszenario müsste ein Angreifer eine Website hosten, die eine speziell gestaltete URL enthält. Außerdem könnten kompromittierte Websites und Websites, die vom Benutzer bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, eine speziell gestaltete Website zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, die Website zu besuchen, in der Regel durch Klicken auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht, die sie über eine speziell gestaltete URL auf die betroffene Website leitet.

Systeme mit betroffenen Editionen von Microsoft Lync Server sind installiert, und die Clients, die eine Verbindung mit ihnen herstellen, sind durch diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Lync Server die Benutzereingaben saniert.

Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ursprünglich ausgegeben wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Sicherheitsanfälligkeit in Skype for Business Server und Lync Server XSS bezüglich Rechteerweiterungen – CVE-2015-2536

Eine Sicherheitsanfälligkeit bezüglich websiteübergreifender Skripterstellung (Cross Site Scripting, XSS), die zu einer Erhöhung von Berechtigungen führen kann, ist vorhanden, wenn Skype for Business Server oder Lync Server nicht ordnungsgemäß gestaltete Inhalte sanitieren. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, kann beliebigen Code ausführen und die Kontrolle über ein betroffenes System übernehmen. Ein Angreifer könnte dann Programme installieren, Daten anzeigen, ändern, oder löschen oder neue Konten mit uneingeschränkten Benutzerrechten anlegen.

Damit diese Sicherheitsanfälligkeit ausgenutzt werden kann, muss ein Benutzer auf eine speziell gestaltete URL klicken.

In einem E-Mail-Angriffsszenario könnte ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer sendet und den Benutzer dazu überzeugen konnte, auf die speziell gestaltete URL zu klicken.

In einem webbasierten Angriffsszenario müsste ein Angreifer eine Website hosten, die eine speziell gestaltete URL enthält. Außerdem könnten kompromittierte Websites und Websites, die vom Benutzer bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen könnten. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, eine speziell gestaltete Website zu besuchen. Ein Angreifer hätte keine Möglichkeit, Benutzer zu erzwingen, solche Websites zu besuchen. Stattdessen müsste ein Angreifer die Benutzer davon überzeugen, die Website zu besuchen, in der Regel durch Klicken auf einen Link in einem Instant Messenger oder einer E-Mail-Nachricht, die sie über eine speziell gestaltete URL auf die betroffene Website leitet.

Systeme mit betroffenen Editionen von Skype for Business Server oder Microsoft Lync Server sind installiert, und die Clients, die eine Verbindung mit ihnen herstellen, sind durch diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Lync Server die Benutzereingaben saniert.

Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten. Als dieses Sicherheitsbulletin ursprünglich ausgegeben wurde, hatte Microsoft keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Kunden verwendet wurde.

Mildernde Faktoren

Microsoft hat keine mildernden Faktoren für diese Sicherheitsanfälligkeit identifiziert.

Problemumgehungen

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Zusammenfassung der Geschäftsleitung verwiesen wird.

Danksagungen

Microsoft erkennt die Bemühungen derJenigen in der Sicherheitscommunity, die uns dabei helfen, Kunden durch koordinierte Offenlegung von Sicherheitsrisiken zu schützen. Weitere Informationen finden Sie unter "Bestätigungen ".

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (8. September 2015): Bulletin veröffentlicht.
  • V1.1 (11. September 2015): Bulletin überarbeitet, um die erforderlichen Details im Abschnitt "Häufig gestellte Fragen zu Aktualisieren" zu aktualisieren. Dies ist nur eine Informationsänderung. Kunden, die die Updates bereits erfolgreich installiert haben, müssen keine Maßnahmen ergreifen.

Seite generiert 2015-09-11 13:49-07:00.