Microsoft 安全性布告欄 MS15-123 - 重要
商務用 Skype 與 Microsoft Lync 的資訊安全更新,以解決資訊洩漏問題 (3105872)
發佈時間: 2015 年 11 月 10 日
版本: 1.0
執行摘要
此安全性更新可解決 商務用 Skype和 Microsoft Lync 中的弱點。 如果攻擊者邀請目標使用者進入立即訊息會話,然後傳送包含特製 JavaScript 內容的訊息,則弱點可能會允許資訊洩漏。
此安全性更新會針對所有支援的 商務用 Skype 2016、Microsoft Lync 2013 和 Microsoft Lync 2010 版本評為 [重要];它也會針對特定 Microsoft Lync 會議室系統元件評為重要。 如需詳細資訊,請參閱 受影響的軟體 一節。
安全性更新會修正 商務用 Skype 和 Microsoft Lync 用戶端如何清理內容,以解決弱點。 如需弱點的詳細資訊,請參閱 弱點資訊 一節。
如需此更新的詳細資訊,請參閱 Microsoft 知識庫文章3105872。
受影響的軟體
下列軟體版本或版本受到影響。 未列出的版本或版本要麼超過其支援生命周期,要麼不會受到影響。 若要判斷軟體版本或版本的支援生命週期,請參閱 Microsoft 支援服務 生命週期。
Microsoft Communications Platform and Software
| 軟體 | 伺服器輸入驗證資訊洩漏弱點 - CVE-2015-6061 | 更新 已取代 |
|---|---|---|
| Microsoft 商務用 Skype 2016 | ||
| 商務用 Skype 2016 (32 位) \ (3085634) | 重要資訊 洩漏 | MS15-097 中的 2910994 |
| 商務用 Skype 基本 2016 (32 位) (3085634) | 重要資訊 洩漏 | MS15-097 中的 2910994 |
| 商務用 Skype 2016 (64 位) \ (3085634) | 重要資訊 洩漏 | MS15-097 中的 2910994 |
| 商務用 Skype Basic 2016 (64 位) \ (3085634) | 重要資訊 洩漏 | MS15-097 中的 2910994 |
| Microsoft Lync 2013 | ||
| Microsoft Lync 2013 Service Pack 1 (32 位) \ (商務用 Skype)[1](3101496) | 重要資訊 洩漏 | MS15-097 中的 3085500 |
| Microsoft Lync Basic 2013 Service Pack 1 (32 位)\ (商務用 Skype Basic)[1] \ (3101496) | 重要資訊 洩漏 | MS15-097 中的 3085500 |
| Microsoft Lync 2013 Service Pack 1 (64 位) \ (商務用 Skype)[1]\ (3101496) | 重要資訊 洩漏 | MS15-097 中的 3085500 |
| Microsoft Lync Basic 2013 Service Pack 1 (64 位)[1]\ (商務用 Skype Basic) \ (3101496) | 重要資訊 洩漏 | MS15-097 中的 3085500 |
| Microsoft Lync 2010 | ||
| Microsoft Lync 2010 (32 位) \ (3096735) | 重要資訊 洩漏 | MS15-097 中的 3081087 |
| Microsoft Lync 2010 (64 位) \ (3096735) | 重要資訊 洩漏 | MS15-097 中的 3081087 |
| Microsoft Lync 2010 Attendee[2]\ (用戶層級安裝) \ (3096736) | 重要資訊 洩漏 | MS15-097 中的 3081088 |
| Microsoft Lync 2010 出席者 \ (系統管理員層級安裝) \ (3096738) | 重要資訊 洩漏 | MS15-097 中的 3081089 |
| Microsoft Lync Room System | ||
| Microsoft Lync Room System \ (適用於 SMART Room System) \ (3108096) | 重要資訊 洩漏 | 無 |
| Microsoft Lync Room System \ (For Crestron RL) \ (3108096) | 重要資訊 洩漏 | 無 |
[1]安裝此更新之前,您必須安裝更新2965218和安全性更新3039779。 如需詳細資訊, 請參閱更新常見問題 。
[2]此更新僅適用於 Microsoft 下載中心 。
更新常見問題
為什麼此公告中所列的一些更新檔案也表示於 11 月 Microsoft Office 公告 MS15-116?
此公告中列出的數個更新檔案 MS15-123 也會在 MS15-116 中表示,因為受影響的軟體有重疊。 雖然這兩個布告欄可解決個別的安全性弱點,但安全性更新已盡可能合併並適當。 因此,這兩個公告中都有一些相同的更新檔案。 請注意,與多個布告欄一起傳送的相同更新檔案不需要安裝一次以上。
此公告中針對 Microsoft Lync 2013 (商務用 Skype) 受影響版本所提供的任何更新是否有任何必要條件?
是。 執行受影響版本的 Microsoft Lync 2013 (商務用 Skype) 的客戶必須先安裝 2015 年 4 月發行的 Office 2013 2965218更新,然後安裝 2015 年 5 月發行的3039779安全性更新。 如需這兩個必要條件更新的詳細資訊,請參閱:
為什麼 Lync 2010 出席者(使用者層級安裝)更新只能從 Microsoft 下載中心取得?
Microsoft 只會將 Lync 2010 出席者(用戶層級安裝)的 更新發行至 Microsoft 下載中心 。 由於 Lync 2010 出席者的使用者層級安裝是透過 Lync 會話處理,因此這類的發佈方法不適用於這種類型的安裝案例。
弱點資訊
伺服器輸入驗證資訊洩漏弱點 - CVE-2015-6061
商務用 Skype 和 Microsoft Lync 用戶端不當清理特製內容時,就會存在資訊洩漏弱點。 成功利用弱點的攻擊者可以在 商務用 Skype 或 Lync 內容中執行 HTML 和 JavaScript 內容。 攻擊者可以使用此弱點,使用預設瀏覽器開啟網頁、以第三方開啟另一個訊息會話,或可能觸發客戶端系統上其他應用程式所定義的 URI。
若要惡意探索弱點,攻擊者可以邀請目標使用者立即訊息會話,然後傳送包含特製 JavaScript 內容的訊息給該使用者。 更新會修正 商務用 Skype和 Microsoft Lync 用戶端如何清理內容來解決弱點。
Microsoft 透過協調的弱點洩漏收到此弱點的相關信息。 在最初發出此安全性公告時,Microsoft 並不知道任何嘗試利用此弱點的攻擊。
緩和因素
Microsoft 尚未識別此弱點的任何 緩和因素 。
因應措施
Microsoft 尚未識別此弱點的任何因應措施
安全性更新部署
如需安全性更新部署資訊,請參閱執行摘要中參考的 Microsoft 知識庫文章。
通知
Microsoft 可辨識安全性社群中協助我們透過協調弱點洩漏保護客戶的工作。 如需詳細資訊,請參閱通知。
免責聲明
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
修訂記錄
- V1.0 (2015 年 11 月 10 日): 公告發佈。
頁面產生的 2015-11-11 12:25-08:00。</https:>