Microsoft Security Bulletin MS15-104 – Hoch

Sicherheitsanfälligkeiten in Skype for Business Server und Lync Server können Erhöhung von Berechtigungen ermöglichen (3089952)

Veröffentlicht: 8. September 2015 | Aktualisiert: 11.09.15

Version: 1.1

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt Sicherheitsanfälligkeiten in Skype for Business Server und Microsoft Lync Server. Die schwerste Sicherheitsanfälligkeit kann die Erhöhung von Berechtigungen ermöglichen, wenn ein Benutzer auf eine speziell gestaltete URL klickt. Ein Angreifer muss die Benutzer dazu verleiten, auf einen Link in einer Instant Messenger oder E-Mail-Nachricht zu klicken, der die Benutzer über eine speziell gestaltete URL zu einer betroffenen Website führt.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Skype for Business Server 2015 und Microsoft Lync Server 2013 als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software.

Das Update behebt die Sicherheitsanfälligkeiten durch die Aktualisierung von jQuery in Skype for Business Server und in Lync Server, sodass Benutzereingaben ordnungsgemäß bereinigt werden, und indem korrigiert wird, wie Skype for Business Server und Lync Server Benutzereingaben bereinigen. Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie im Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3089952.

Häufig gestellte Fragen (FAQs) zu diesem Update

Müssen für die Installation des in diesem Bulletin aufgeführten Updates für Microsoft Lync Server 2013 bestimmte Voraussetzungen erfüllt werden?
Ja. Vor der Installation des Updates für Microsoft Lync Server 2013 muss das kumulative Update 2809243 für Lync Server 2013 installiert werden. Benutzer, die die automatische Aktualisierung aktiviert haben, müssen keine Maßnahmen ergreifen, da kumulative Updates automatisch heruntergeladen und installiert werden. Kunden, die die eigenständigen Pakete manuell testen und installieren, müssen sicherstellen, dass das Update 2809243 installiert worden ist, bevor das in diesem Bulletin aufgeführte Update installiert wird.

Weitere Informationen zu dem vorausgesetzten kumulativen Update und einen Downloadlink finden Sie unter Kumulatives Update für Lync Server – 2013 KB 2809243.

Betroffene Software und Bewertungen des Schweregrads der Sicherheitsanfälligkeit

Die folgenden Softwareversionen oder -Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln.

Bei den Bewertungen des Schweregrads für die jeweils betroffene Software wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für September.

Betroffene Software Sicherheitsanfälligkeit in Skype for Business Server und Lync Server bezüglich Offenlegung von Informationen durch siteübergreifende Skripterstellung – CVE-2015-2531 Sicherheitsanfälligkeit in Lync Server bezüglich Offenlegung von Informationen durch siteübergreifende Skripterstellung – CVE-2015-2532 Sicherheitsanfälligkeiten in Skype for Business Server und Lync Server bezüglich Erhöhung von Berechtigungen durch siteübergreifende Skripterstellung – CVE-2015-2536 Ersetzte Updates*
Microsoft Lync Server 2013
Microsoft Lync Server 2013
(Webkomponentenserver)
(3080353)
Hoch
Offenlegung von Informationen
Hoch
Offenlegung von Informationen
Hoch
Erhöhung von Berechtigungen
2982390 in MS14-055
Skype for Business Server 2015
Skype for Business Server 2015
(3061064)
Hoch
Offenlegung von Informationen
Nicht anwendbar Hoch
Erhöhung von Berechtigungen
Keine

*Die Spalte „Ersetzte Updates‟ enthält nur das letzte Update einer beliebigen Reihe ersetzter Updates. Eine umfassende Liste der ersetzten Updates finden Sie, wenn Sie zum Microsoft Update-Katalog wechseln, nach der Update-KB-Nummer suchen und dann die Updatedetails betrachten (die Informationen zu ersetzten Updates befinden sich auf der Registerkarte „Paketdetails‟).

Informationen zu Sicherheitsanfälligkeiten

Sicherheitsanfälligkeit in Skype for Business Server und Lync Server bezüglich Offenlegung von Informationen durch siteübergreifende Skripterstellung – CVE-2015-2531

Es liegt eine Sicherheitsanfälligkeit durch siteübergreifende Skripterstellung (XSS) vor, die zur Offenlegung von Informationen führen kann, wenn das jQuery-Modul in Skype for Business Server oder Lync Server speziell gestaltete Inhalte nicht richtig bereinigt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Skripte im Browser des Benutzers ausführen, um Informationen aus Websitzungen zu erhalten.

Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer auf eine speziell gestaltete URL klickt.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer sendet und den Benutzer dazu verleitet, auf die speziell gestaltete URL zu klicken.

In einem webbasierten Angriffsszenario muss ein Angreifer eine Website hosten, die eine speziell gestaltete URL enthält. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen. Ein Angreifer kann Benutzer nicht zum Besuch einer solchen Website zwingen. Stattdessen muss ein Angreifer Benutzer dazu verleiten, eine Website zu besuchen. Zu diesem Zweck werden die Benutzer normalerweise dazu gebracht, auf einen Link in einer Instant Messenger- oder E-Mail-Nachricht zu klicken, der die Benutzer über eine speziell gestaltete URL zur betroffenen Website führt.

Systeme, auf denen betroffene Editionen von Skype for Business Server oder Microsoft Lync Server installiert sind, sowie die damit verbundenen Lync-Clients sind durch diese Sicherheitsanfälligkeit gefährdet. Das Update behebt die Sicherheitsanfälligkeit durch die Aktualisierung von jQuery in Skype for Business Server und in Lync Server, sodass Benutzereingaben ordnungsgemäß bereinigt werden.

Microsoft hat durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit Informationen zu dieser Sicherheitsanfälligkeit erhalten. Zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins lagen Microsoft keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Sicherheitsanfälligkeit in Lync Server bezüglich Offenlegung von Informationen durch siteübergreifende Skripterstellung – CVE-2015-2532

Es liegt eine Sicherheitsanfälligkeit durch siteübergreifende Skripterstellung (XSS) vor, die zur Offenlegung von Informationen führen kann, wenn Lync Server speziell gestaltete Inhalte nicht ordnungsgemäß bereinigt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte Skripte im Browser des Benutzers ausführen, um Informationen aus Websitzungen zu erhalten.

Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer auf eine speziell gestaltete URL klickt.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer sendet und den Benutzer dazu verleitet, auf die speziell gestaltete URL zu klicken.

In einem webbasierten Angriffsszenario muss ein Angreifer eine Website hosten, die eine speziell gestaltete URL enthält. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen. Ein Angreifer kann Benutzer nicht zum Besuch einer speziell gestalteten Website zwingen. Stattdessen muss ein Angreifer Benutzer dazu verleiten, eine Website zu besuchen. Zu diesem Zweck werden die Benutzer normalerweise dazu gebracht, auf einen Link in einer Instant Messenger- oder E-Mail-Nachricht zu klicken, der die Benutzer über eine speziell gestaltete URL zur betroffenen Website führt.

Systeme, auf denen betroffene Editionen von Microsoft Lync Server installiert sind, sowie die damit verbundenen Lync-Clients sind durch diese Sicherheitsanfälligkeit gefährdet. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Lync Server Benutzereingaben bereinigt.

Microsoft hat durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit Informationen zu dieser Sicherheitsanfälligkeit erhalten. Zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins lagen Microsoft keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Sicherheitsanfälligkeiten in Skype for Business Server und Lync Server bezüglich Erhöhung von Berechtigungen durch siteübergreifende Skripterstellung – CVE-2015-2536

Es liegt eine Sicherheitsanfälligkeit durch siteübergreifende Skripterstellung (XSS) vor, die zur Offenlegung von Informationen führen kann, wenn Skype for Business Server oder Lync Server speziell gestaltete Inhalte nicht richtig bereinigt. Ein Angreifer, der diese Sicherheitsanfälligkeit ausnutzt, könnte im Ernstfall beliebigen Code ausführen und die Kontrolle über ein betroffenes System erlangen. Ein Angreifer kann dann Programme installieren, Daten anzeigen, ändern oder löschen oder neue Konten mit sämtlichen Benutzerrechten erstellen.

Diese Sicherheitsanfälligkeit kann ausgenutzt werden, wenn ein Benutzer auf eine speziell gestaltete URL klickt.

In einem E-Mail-Angriffsszenario kann ein Angreifer die Sicherheitsanfälligkeit ausnutzen, indem er eine E-Mail-Nachricht mit der speziell gestalteten URL an den Benutzer sendet und den Benutzer dazu verleitet, auf die speziell gestaltete URL zu klicken.

In einem webbasierten Angriffsszenario muss ein Angreifer eine Website hosten, die eine speziell gestaltete URL enthält. Außerdem können manipulierte Websites und Websites, die von Benutzern bereitgestellte Inhalte akzeptieren oder hosten, speziell gestaltete Inhalte enthalten, die diese Sicherheitsanfälligkeit ausnutzen. Ein Angreifer kann Benutzer nicht zum Besuch einer speziell gestalteten Website zwingen. Ein Angreifer kann Benutzer nicht zum Besuch einer solchen Website zwingen. Stattdessen muss ein Angreifer Benutzer dazu verleiten, eine Website zu besuchen. Zu diesem Zweck werden die Benutzer normalerweise dazu gebracht, auf einen Link in einer Instant Messenger- oder E-Mail-Nachricht zu klicken, der die Benutzer über eine speziell gestaltete URL zur betroffenen Website führt.

Systeme, auf denen betroffene Editionen von Skype for Business Server oder Microsoft Lync Server installiert sind, sowie die damit verbundenen Lync-Clients sind durch diese Sicherheitsanfälligkeit gefährdet. Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Lync Server Benutzereingaben bereinigt.

Microsoft hat durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit Informationen zu dieser Sicherheitsanfälligkeit erhalten. Zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins lagen Microsoft keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeit gibt es noch keine Problemumgehungen.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzzusammenfassung verwiesen wird.

Danksagung

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung.

Haftungsausschluss

Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (08.09.15): Bulletin veröffentlicht.
  • V1.1 (11.09.15): Das Bulletin wurde überarbeitet, um Details zu den Systemvoraussetzungen im Abschnitt „Häufig gestellte Fragen zu diesem Update‟ zu aktualisieren. Dies ist lediglich eine Informationsänderung. Kunden, die diese Updates bereits erfolgreich installiert haben, müssen nichts weiter unternehmen.

Seite generiert am 11.09.15 um 13:49:00-07:00.