Microsoft Security Bulletin MS15-104 - Importante
Vulnerabilidades no Skype for Business Server e Lync Server podem permitir elevação de privilégio (3089952)
Publicado: terça-feira, 8 de setembro de 2015 | Atualizado: September 11, 2015
Versão: 1.1
Resumo executivo
Esta atualização de segurança resolve vulnerabilidades no Skype for Business Server e no Microsoft Lync Server. A mais grave das vulnerabilidades pode permitir a elevação de privilégio se um usuário clicar em uma URL especialmente criada. Um invasor teria que convencer os usuários a clicar em um link em um mensageiro instantâneo ou mensagem de email que os direciona para um site afetado por meio de uma URL especialmente criada.
Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Skype for Business Server 2015 e do Microsoft Lync Server 2013. Para obter mais informações, consulte a seção Softwares afetados.
A atualização de segurança elimina as vulnerabilidades atualizando o jQuery no Skype for Business Server e no Lync Server para limpar corretamente a entrada do usuário e corrigindo como o Skype for Business Server e o Lync Server limpam a entrada do usuário. Para obter mais informações sobre as vulnerabilidades, consulte a seção Informações sobre vulnerabilidade.
Para obter mais informações sobre essa atualização, consulte o artigo 3089952 da Base de Dados de Conhecimento Microsoft.
Perguntas frequentes sobre atualizações
Para o Microsoft Lync Server 2013, há algum pré-requisito para instalar a atualização listada neste boletim?
Sim. Antes de instalar a atualização para o Microsoft Lync Server 2013, a 2809243 de atualização cumulativa para o Lync Server 2013 deve ser instalada. Os clientes que têm a atualização automática habilitada não precisarão executar nenhuma ação, pois as atualizações cumulativas serão baixadas e instaladas automaticamente. Os clientes que testam e instalam manualmente os pacotes autônomos devem garantir que a atualização 2809243 esteja instalada antes de aplicar a atualização listada neste boletim.
Para obter mais informações sobre a atualização cumulativa de pré-requisito e um link de download, consulte Atualização cumulativa do Lync Server 2013 KB 2809243.
Software afetado e classificações de gravidade da vulnerabilidade
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
As classificações de gravidade indicadas para cada software afetado pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da possibilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto à segurança, consulte o Índice de exploração no resumo de boletins de setembro.
| Softwares afetados | Vulnerabilidade de divulgação não autorizada de informações XSS do Skype for Business Server e Lync Server - CVE-2015-2531 | Vulnerabilidade de divulgação não autorizada de informações XSS do Lync Server - CVE-2015-2532 | Vulnerabilidade de elevação de privilégio do Skype for Business Server e Lync Server XSS - CVE-2015-2536 | Atualizações substituídas* |
|---|---|---|---|---|
| Microsoft Lync Server 2013 | ||||
| Microsoft Lync Server 2013 (Servidor de Web Components) (3080353) | Divulgação de Informações Importantes | Divulgação de Informações Importantes | Importante elevação de privilégio | 2982390 em MS14-055 |
| Skype for Business Server 2015 | ||||
| Skype for Business Server 2015 (3061064) | Divulgação de Informações Importantes | Não aplicável | Importante elevação de privilégio | Nenhum |
*A coluna Atualizações substituídas mostra apenas a atualização mais recente em qualquer cadeia de atualizações substituídas. Para obter uma lista abrangente de atualizações substituídas, vá para o Catálogo do Microsoft Update, procure o número KB da atualização e exiba os detalhes da atualização (as informações sobre atualizações substituídas são fornecidas na guia Detalhes do Pacote).
Informações de vulnerabilidade
Vulnerabilidade de divulgação não autorizada de informações XSS do Skype for Business Server e Lync Server - CVE-2015-2531
Existe uma vulnerabilidade de script entre sites (XSS), que pode resultar na divulgação de informações, quando o mecanismo jQuery no Skype for Business Server ou no Lync Server não limpa corretamente o conteúdo especialmente criado. Um invasor que explorar com êxito essa vulnerabilidade poderá executar scripts no navegador do usuário para obter informações de sessões da Web.
Para que esta vulnerabilidade seja explorada, um usuário deve clicar em uma URL especialmente criada.
Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando uma mensagem de email contendo a URL especialmente criada para o usuário e convencendo-o a clicar na URL especialmente criada.
Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site que contivesse um URL especialmente concebido para o efeito. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um mensageiro instantâneo ou mensagem de email que os direciona para o site afetado por meio de uma URL especialmente criada.
Os sistemas com edições afetadas do Skype for Business Server ou do Microsoft Lync Server instaladas e os clientes que se conectam a elas correm risco com essa vulnerabilidade. A atualização elimina a vulnerabilidade atualizando o jQuery no Skype for Business Server e no Lync Server para limpar corretamente a entrada do usuário.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi publicado originalmente, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de divulgação não autorizada de informações XSS do Lync Server - CVE-2015-2532
Existe uma vulnerabilidade de script entre sites (XSS), que pode resultar na divulgação de informações, quando o Lync Server não limpa corretamente o conteúdo especialmente criado. Um invasor que explorar com êxito essa vulnerabilidade poderá executar scripts no navegador do usuário para obter informações de sessões da Web.
Para que esta vulnerabilidade seja explorada, um usuário deve clicar em uma URL especialmente criada.
Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando uma mensagem de email contendo a URL especialmente criada para o usuário e convencendo-o a clicar na URL especialmente criada.
Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site que contivesse um URL especialmente concebido para o efeito. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Um invasor não teria como forçar os usuários a visitar um site especialmente criado. Em vez disso, um invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um mensageiro instantâneo ou mensagem de email que os direciona para o site afetado por meio de uma URL especialmente criada.
Os sistemas com edições afetadas do Microsoft Lync Server instaladas e os clientes que se conectam a elas correm risco com essa vulnerabilidade. A atualização elimina a vulnerabilidade corrigindo como o Lync Server limpa a entrada do usuário.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi publicado originalmente, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Vulnerabilidade de elevação de privilégio do Skype for Business Server e Lync Server XSS - CVE-2015-2536
Existe uma vulnerabilidade de script entre sites (XSS), que pode resultar em elevação de privilégios, quando o Skype for Business Server ou o Lync Server não consegue limpar corretamente o conteúdo especialmente criado. O invasor que explorar com êxito essa vulnerabilidade poderá executar código arbitrário e assumir o controle de um sistema afetado. Um invasor pode instalar programas, exibir, alterar ou excluir dados, além de criar contas com direitos de usuário totais.
Para que esta vulnerabilidade seja explorada, um usuário deve clicar em uma URL especialmente criada.
Em um cenário de ataque por email, um invasor pode explorar a vulnerabilidade enviando uma mensagem de email contendo a URL especialmente criada para o usuário e convencendo-o a clicar na URL especialmente criada.
Num cenário de ataque baseado na Web, um intruso teria de alojar um Web site que contivesse um URL especialmente concebido para o efeito. Além disso, sites comprometidos e sites que aceitam ou hospedam conteúdo fornecido pelo usuário podem conter conteúdo especialmente criado que pode explorar essa vulnerabilidade. Um invasor não teria como forçar os usuários a visitar um site especialmente criado. Um invasor não teria como forçar os usuários a visitar esses sites. Em vez disso, um invasor teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um mensageiro instantâneo ou mensagem de email que os direciona para o site afetado por meio de uma URL especialmente criada.
Os sistemas com edições afetadas do Skype for Business Server ou do Microsoft Lync Server instaladas e os clientes que se conectam a elas correm risco com essa vulnerabilidade. A atualização elimina a vulnerabilidade corrigindo como o Lync Server limpa a entrada do usuário.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. Quando este boletim de segurança foi publicado originalmente, a Microsoft não tinha recebido nenhuma informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado aqui no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (8 de setembro de 2015): Boletim publicado.
- V1.1 (11 de setembro de 2015): Boletim revisado para atualizar os detalhes do pré-requisito na seção Perguntas frequentes sobre atualização. Esta é apenas uma alteração informativa. Os clientes que já instalaram as atualizações com êxito não precisam executar nenhuma ação.
Página gerada em 11/09/2015 13:49-07:00.