Bulletin de sécurité Microsoft MS15-123 - Important
Mise à jour de sécurité pour Skype Entreprise et Microsoft Lync pour résoudre la divulgation d’informations (3105872)
Publication : 10 novembre 2015
Version : 1.0
Résumé
Cette mise à jour de sécurité résout une vulnérabilité dans Skype Entreprise et Microsoft Lync. La vulnérabilité peut autoriser la divulgation d’informations si un attaquant invite un utilisateur cible à une session de message instantané, puis envoie à cet utilisateur un message contenant du contenu JavaScript spécialement conçu.
Cette mise à jour de sécurité est notée Important pour toutes les éditions prises en charge de Skype Entreprise 2016, Microsoft Lync 2013 et Microsoft Lync 2010 ; elle est également classée Important pour certains composants de Microsoft Lync Room System. Pour plus d’informations, consultez la section Logiciels affectés.
La mise à jour de sécurité résout la vulnérabilité en corrigeant la façon dont Skype Entreprise et les clients Microsoft Lync nettoient le contenu. Pour plus d’informations sur la vulnérabilité, consultez la section Informations sur les vulnérabilités.
Pour plus d’informations sur cette mise à jour, consultez l’article 3105872 de la Base de connaissances Microsoft.
Logiciel affecté
Les versions ou éditions logicielles suivantes sont affectées. Les versions ou éditions qui ne sont pas répertoriées sont passées par leur cycle de vie de support ou ne sont pas affectées. Pour déterminer le cycle de vie de prise en charge de votre version ou édition logicielle, consultez Support Microsoft cycle de vie.
Plateformes et logiciels de communications Microsoft
| Logiciels | Vulnérabilité de divulgation des informations de validation d’entrée du serveur - CVE-2015-6061 | Mises à jour remplacé |
|---|---|---|
| Microsoft Skype Entreprise 2016 | ||
| Skype Entreprise 2016 (32 bits) \ (3085634) | Divulgation d’informations importantes | 2910994 dans MS15-097 |
| Skype Entreprise De base 2016 (32 bits) (3085634) | Divulgation d’informations importantes | 2910994 dans MS15-097 |
| Skype Entreprise 2016 (64 bits) \ (3085634) | Divulgation d’informations importantes | 2910994 dans MS15-097 |
| Skype Entreprise Basic 2016 (64 bits) \ (3085634) | Divulgation d’informations importantes | 2910994 dans MS15-097 |
| Microsoft Lync 2013 | ||
| Microsoft Lync 2013 Service Pack 1 (32 bits) \ (Skype Entreprise)[1](3101496) | Divulgation d’informations importantes | 3085500 dans MS15-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (32 bits)\ (Skype Entreprise De base)[1] \ (3101496) | Divulgation d’informations importantes | 3085500 dans MS15-097 |
| Microsoft Lync 2013 Service Pack 1 (64 bits) \ (Skype Entreprise)[1]\ (3101496) | Divulgation d’informations importantes | 3085500 dans MS15-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (64 bits)[1]\ (Skype Entreprise De base) \ (3101496) | Divulgation d’informations importantes | 3085500 dans MS15-097 |
| Microsoft Lync 2010 | ||
| Microsoft Lync 2010 (32 bits) \ (3096735) | Divulgation d’informations importantes | 3081087 dans MS15-097 |
| Microsoft Lync 2010 (64 bits) \ (3096735) | Divulgation d’informations importantes | 3081087 dans MS15-097 |
| Participant Microsoft Lync 2010[2]\ (installation au niveau de l’utilisateur) \ (3096736) | Divulgation d’informations importantes | 3081088 dans MS15-097 |
| Microsoft Lync 2010 Participant \ (installation au niveau de l’administrateur) \ (3096738) | Divulgation d’informations importantes | 3081089 dans MS15-097 |
| Microsoft Lync Room System | ||
| Microsoft Lync Room System \ (for SMART Room System) \ (3108096) | Divulgation d’informations importantes | Aucun |
| Microsoft Lync Room System \ (For Crestron RL) \ (3108096) | Divulgation d’informations importantes | Aucun |
[1]Avant d’installer cette mise à jour, vous devez avoir installé les 2965218 de mise à jour et les 3039779 mises à jour de sécurité. Pour plus d’informations, consultez le FORUM aux questions sur la mise à jour.
[2]Cette mise à jour est disponible uniquement à partir du Centre de téléchargement Microsoft.
Faq sur la mise à jour
Pourquoi certains fichiers de mise à jour répertoriés dans ce bulletin sont-ils également indiqués dans le bulletin Microsoft Bureau de novembre, MS15-116 ?
Plusieurs des fichiers de mise à jour répertoriés dans ce bulletin, MS15-123, sont également indiqués dans MS15-116 en raison de chevauchements dans les logiciels affectés. Bien que les deux bulletins traitent des vulnérabilités de sécurité distinctes, les mises à jour de sécurité ont été consolidées si possible et appropriées. Pour cette raison, certains fichiers de mise à jour identiques sont présents dans ces deux bulletins. Notez que les fichiers de mise à jour identiques qui sont expédiés avec plusieurs bulletins n’ont pas besoin d’être installés plusieurs fois.
Existe-t-il des conditions préalables à l’une des mises à jour proposées dans ce bulletin pour les éditions affectées de Microsoft Lync 2013 (Skype Entreprise) ?
Oui. Les clients exécutant des éditions affectées de Microsoft Lync 2013 (Skype Entreprise) doivent d’abord installer la mise à jour 2965218 pour Bureau 2013 publiée en avril 2015, puis la mise à jour de sécurité 3039779 publiée en mai 2015. Pour plus d’informations sur ces deux mises à jour préalables, consultez :
Pourquoi la mise à jour de Lync 2010 Participant (installation au niveau de l’utilisateur) est-elle disponible uniquement à partir du Centre de téléchargement Microsoft ?
Microsoft publie la mise à jour pour Lync 2010 Participant (installation au niveau de l’utilisateur) uniquement dans le Centre de téléchargement Microsoft. Étant donné que l’installation au niveau utilisateur de Lync 2010 Participant est gérée via une session Lync, les méthodes de distribution telles que la mise à jour automatique ne conviennent pas à ce type de scénario d’installation.
Informations sur la vulnérabilité
Vulnérabilité de divulgation des informations de validation d’entrée du serveur - CVE-2015-6061
Une vulnérabilité de divulgation d’informations existe quand Skype Entreprise et les clients Microsoft Lync désinfectent de manière incorrecte le contenu spécialement conçu. Un attaquant qui a réussi à exploiter la vulnérabilité peut exécuter du contenu HTML et JavaScript dans le contexte Skype Entreprise ou Lync. L’attaquant peut utiliser cette vulnérabilité pour ouvrir une page web à l’aide du navigateur par défaut, ouvrir une autre session de messagerie avec un tiers ou déclencher des URI définis par d’autres applications sur le système du client.
Pour exploiter la vulnérabilité, un attaquant peut inviter un utilisateur cible à une session de message instantané, puis envoyer à cet utilisateur un message contenant du contenu JavaScript spécialement conçu. La mise à jour résout la vulnérabilité en corrigeant la façon dont Skype Entreprise et les clients Microsoft Lync nettoient le contenu.
Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités. Au moment où ce bulletin de sécurité a été émis à l’origine, Microsoft n’a pas conscience de toute attaque qui tente d’exploiter cette vulnérabilité.
Facteurs d’atténuation
Microsoft n’a pas identifié de facteurs d’atténuation pour cette vulnérabilité.
Solutions de contournement
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité
Déploiement des mises à jour de sécurité
Pour plus d’informations sur le déploiement des mises à jour de sécurité, consultez l’article de la Base de connaissances Microsoft référencé dans le résumé exécutif.
Remerciements
Microsoft reconnaît les efforts de ceux de la communauté de sécurité qui nous aident à protéger les clients par le biais d’une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez accusés de réception.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (10 novembre 2015) : Bulletin publié.
Page générée 2015-11-11 12 :25-08 :00.</https :>