Microsoft 安全公告 MS15-123 - 重要提示
Skype for Business 和 Microsoft Lync 安全更新,以解决信息泄露(3105872)
发布时间: 2015 年 11 月 10 日
版本: 1.0
执行摘要
此安全更新可解决 Skype for Business 和 Microsoft Lync 中的漏洞。 如果攻击者邀请目标用户进行即时消息会话,然后向该用户发送包含特制 JavaScript 内容的消息,则漏洞可能会允许信息泄露。
对于所有受支持的 Skype for Business 2016、Microsoft Lync 2013 和 Microsoft Lync 2010 版本,此安全更新都被评为“重要”;对于某些 Microsoft Lync 会议室系统组件,它还被评为“重要提示”。 有关详细信息,请参阅 “受影响的软件 ”部分。
安全更新通过更正 Skype for Business 和 Microsoft Lync 客户端如何清理内容来解决漏洞。 有关漏洞的详细信息,请参阅 “漏洞信息 ”部分。
有关此更新的详细信息,请参阅 Microsoft 知识库文章3105872。
受影响的软件
以下软件版本或版本受到影响。 未列出的版本或版本要么超过其支持生命周期,要么不受影响。 若要确定软件版本或版本的支持生命周期,请参阅Microsoft 支持部门生命周期。
Microsoft 通信平台和软件
| 软件 | 服务器输入验证信息泄露漏洞 - CVE-2015-6061 | 已替换汇报 |
|---|---|---|
| Microsoft Skype for Business 2016 | ||
| Skype for Business 2016 (32 位) \ (3085634) | 重要信息 披露 | MS15-097 中的 2910994 |
| Skype for Business Basic 2016 (32 位) (3085634) | 重要信息 披露 | MS15-097 中的 2910994 |
| Skype for Business 2016 (64 位) \ (3085634) | 重要信息 披露 | MS15-097 中的 2910994 |
| Skype for Business Basic 2016 (64 位) \ (3085634) | 重要信息 披露 | MS15-097 中的 2910994 |
| Microsoft Lync 2013 | ||
| Microsoft Lync 2013 Service Pack 1 (32 位) \ (Skype for Business)[1](3101496) | 重要信息 披露 | MS15-097 中的 3085500 |
| Microsoft Lync Basic 2013 Service Pack 1 (32 位)\ (Skype for Business Basic)[1] \ (3101496) | 重要信息 披露 | MS15-097 中的 3085500 |
| Microsoft Lync 2013 Service Pack 1 (64 位) \ (Skype for Business)[1]\ (3101496) | 重要信息 披露 | MS15-097 中的 3085500 |
| Microsoft Lync Basic 2013 Service Pack 1 (64 位)[1]\ (Skype for Business Basic) \ (3101496) | 重要信息 披露 | MS15-097 中的 3085500 |
| Microsoft Lync 2010 | ||
| Microsoft Lync 2010 (32 位) \ (3096735) | 重要信息 披露 | MS15-097 中的 3081087 |
| Microsoft Lync 2010 (64 位) \ (3096735) | 重要信息 披露 | MS15-097 中的 3081087 |
| Microsoft Lync 2010 Attendee[2]\ (用户级别安装) \ (3096736) | 重要信息 披露 | MS15-097 中的 3081088 |
| Microsoft Lync 2010 Attendee \ (管理员级别安装) \ (3096738) | 重要信息 披露 | MS15-097 中的 3081089 |
| Microsoft Lync 会议室系统 | ||
| Microsoft Lync 会议室系统 \ (对于 SMART Room System) \ (3108096) | 重要信息 披露 | 无 |
| Microsoft Lync 会议室系统 \ (对于 Crestron RL) \ (3108096) | 重要信息 披露 | 无 |
[1]安装此更新之前,必须安装更新2965218和安全更新3039779。 有关详细信息, 请参阅更新常见问题解答 。
更新常见问题解答
为什么此公告中列出的某些更新文件也表示在 11 月Microsoft 办公室公告 MS15-116 中?
此公告中列出的几个更新文件 MS15-123 也表示在 MS15-116 中,因为受影响的软件存在重叠。 尽管这两个公告解决了单独的安全漏洞,但在可能和适当的情况下,已合并安全更新。 因此,这两个公告中都存在一些相同的更新文件。 请注意,附带多个公告的相同更新文件不需要多次安装。
此公告中针对受影响的 Microsoft Lync 2013 (Skype for Business)版本提供的任何更新是否有任何先决条件?
是的。 运行受影响的 Microsoft Lync 2013(Skype for Business)版本的客户必须先安装 2015 年 4 月发布的 办公室 2013 2965218更新,然后安装 2015 年 5 月发布的3039779安全更新。 有关这两个先决条件更新的详细信息,请参阅:
为什么 Lync 2010 与会者(用户级别安装)更新仅适用于 Microsoft 下载中心?
Microsoft 仅将 Lync 2010 与会者(用户级别安装)更新发布到 Microsoft 下载中心 。 由于 Lync 2010 与会者的用户级别安装是通过 Lync 会话处理的,因此分发方法(如自动更新)不适用于这种类型的安装方案。
漏洞信息
服务器输入验证信息泄露漏洞 - CVE-2015-6061
当 Skype for Business 和 Microsoft Lync 客户端不当清理特制内容时,存在信息泄露漏洞。 成功利用漏洞的攻击者可以在 Skype for Business 或 Lync 上下文中执行 HTML 和 JavaScript 内容。 攻击者可以使用此漏洞使用默认浏览器打开网页、与第三方打开另一个消息会话,或者可能触发客户端系统上其他应用程序定义的 URI。
为了利用漏洞,攻击者可能会邀请目标用户加入即时消息会话,然后向用户发送包含专门制作的 JavaScript 内容的消息。 此更新通过更正 Skype for Business 和 Microsoft Lync 客户端如何清理内容来解决漏洞。
Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。 在最初发布此安全公告时,Microsoft 不知道任何试图利用此漏洞的攻击。
缓解因素
Microsoft 尚未识别此漏洞的任何 缓解因素 。
解决方法
Microsoft 尚未识别此漏洞的任何解决方法
安全更新部署
有关安全更新部署信息,请参阅“执行摘要”中引用的 Microsoft 知识库文章。
致谢
Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息,请参阅确认。
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2015 年 11 月 10 日):公告已发布。
页面生成的 2015-11-11 12:25-08:00。</https:>