Microsoft Security Bulletin MS15-123 – Hoch

Sicherheitsupdate für Skype for Business und Microsoft Lync zum Unterbinden der Offenlegung von Informationen (3105872)

Veröffentlicht: 10. November 2015

Version: 1.0

Kurzzusammenfassung

Dieses Update behebt eine Sicherheitsanfälligkeit in Skype for Business und Microsoft Lync. Die Sicherheitsanfälligkeit kann die Offenlegung von Informationen ermöglichen, wenn ein Angreifer einen Zielbenutzer zu einer Chat-Sitzung einlädt und diesem Benutzer dann eine Nachricht mit speziell gestalteten JavaScript-Inhalten sendet.

Dieses Sicherheitsupdate wird für alle unterstützten Editionen von Skype for Business 2016, Microsoft Lync 2013 und Microsoft Lync 2010 als „Wichtig‟ eingestuft. Es wird auch für bestimmte Microsoft Lync Room System-Komponenten als Wichtig eingestuft. Weitere Informationen finden Sie im Abschnitt Betroffene Software.

Das Sicherheitsupdate behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Skype for Business- und Microsoft Lync-Clients Inhalte bereinigen. Weitere Informationen zu der Sicherheitsanfälligkeit finden Sie im Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Weitere Informationen zu diesem Update finden Sie im Microsoft Knowledge Base-Artikel 3105872.

Betroffene Software

Die folgenden Softwareversionen oder -Editionen sind betroffen. Versionen oder Editionen, die nicht aufgeführt sind, haben entweder das Ende ihres Supportlebenszyklus überschritten oder sind nicht betroffen. Besuchen Sie die Website Microsoft Support Lifecycle, um den Supportlebenszyklus für Ihre Softwareversion oder Edition zu ermitteln. 

Microsoft Communications-Plattformen und -Software

**Software** [**Sicherheitsanfälligkeit bei Servereingabevalidierung bezüglich der Offenlegung von Informationen – CVE-2015-6061**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-6061) **Ersetzte Updates**
**Microsoft Skype for Business 2016**
[Skype for Business 2016](https://www.microsoft.com/download/details.aspx?familyid=6740e6b7-fbd8-46b8-ad4c-ae5549eba5d6) (32 Bit) (3085634) **Hoch**  Offenlegung von Informationen 2910994 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
[Skype for Business Basic 2016](https://www.microsoft.com/download/details.aspx?familyid=6740e6b7-fbd8-46b8-ad4c-ae5549eba5d6) (32 Bit) (3085634) **Hoch**  Offenlegung von Informationen 2910994 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
[Skype for Business 2016](https://www.microsoft.com/download/details.aspx?familyid=9afe6843-032f-4217-b363-e8a985f477a9) (64 Bit) (3085634) **Hoch**  Offenlegung von Informationen 2910994 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
[Skype for Business Basic 2016](https://www.microsoft.com/download/details.aspx?familyid=9afe6843-032f-4217-b363-e8a985f477a9) (64 Bit) (3085634) **Hoch**  Offenlegung von Informationen 2910994 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
**Microsoft Lync 2013**
[Microsoft Lync 2013 Service Pack 1](https://www.microsoft.com/downloads/details.aspx?familyid=06e53e84-2a74-4ca2-97b3-7d9c49f6cf22) (32-Bit) (Skype for Business)[1] (3101496) **Hoch**  Offenlegung von Informationen 3085500 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
[Microsoft Lync Basic 2013 Service Pack 1](https://www.microsoft.com/downloads/details.aspx?familyid=06e53e84-2a74-4ca2-97b3-7d9c49f6cf22) (32-Bit) (Skype for Business Basic)[1] (3101496) **Hoch**  Offenlegung von Informationen 3085500 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
[Microsoft Lync 2013 Service Pack 1](https://www.microsoft.com/downloads/details.aspx?familyid=289a16ec-c020-4ce5-8fa5-5508ffc1dbdc) (64-Bit) (Skype for Business)[1] (3101496) **Hoch**  Offenlegung von Informationen 3085500 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
[Microsoft Lync Basic 2013 Service Pack 1](https://www.microsoft.com/downloads/details.aspx?familyid=289a16ec-c020-4ce5-8fa5-5508ffc1dbdc) (64 Bit)[1] (Skype for Business Basic) (3101496) **Hoch**  Offenlegung von Informationen 3085500 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
**Microsoft Lync 2010**
[Microsoft Lync 2010](https://www.microsoft.com/download/details.aspx?familyid=2d03e134-b9e8-4682-84c6-c30ba680e264) (32-Bit) (3096735) **Hoch**  Offenlegung von Informationen 3081087 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
[Microsoft Lync 2010](https://www.microsoft.com/download/details.aspx?familyid=0e698321-2bd0-411d-85aa-0c9c1c23b7fe) (64-Bit) (3096735) **Hoch**  Offenlegung von Informationen 3081087 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
[Microsoft Lync 2010 Attendee](https://www.microsoft.com/download/details.aspx?familyid=bab806e4-1c3b-49c8-9773-1927d82359ac)[2] (Installation auf Benutzerebene) (3096736) **Hoch**  Offenlegung von Informationen 3081088 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
[Microsoft Lync 2010 Attendee](https://www.microsoft.com/download/details.aspx?familyid=63b2ebaa-2867-4f8b-bb9c-1d9bab3ba9f8) (Installation auf Administratorebene) (3096738) **Hoch**  Offenlegung von Informationen 3081089 in [MS15-097](https://technet.microsoft.com/de-de/library/security/ms15-097)
**Microsoft Lync Room System**
[Microsoft Lync Room System](https://go.microsoft.com/fwlink/?linkid=299574) (SMART Room System) (3108096) **Hoch**  Offenlegung von Informationen Keine
[Microsoft Lync Room System](https://go.microsoft.com/fwlink/?linkid=299575) (Crestron RL) (3108096) **Hoch**  Offenlegung von Informationen Keine
[1]Vor der Installation dieses Updates müssen Sie das Update 2965218 und das Sicherheitsupdate 3039779 installieren. Weitere Informationen finden Sie in den **Häufig gestellten Fragen (FAQs) zu diesem Update**.

[2]Dieses Update ist nur im Microsoft Download Center erhältlich.

Häufig gestellte Fragen (FAQs) zu diesem Update

Warum sind einige der in diesem Bulletin aufgeführten Updatedateien auch im November-Bulletin für Microsoft Office, MS15-116, angegeben?
Einige der in diesem Bulletin, MS15-123, aufgeführten Updatedateien sind wegen Überschneidungen bei der betroffenen Software auch in MS15-116 angegebenen. Obwohl die beiden Bulletins jeweils auf andere Sicherheitsanfälligkeiten eingehen, wurden die Sicherheitsupdates soweit möglich und angemessen zusammengefasst. Aus diesem Grund sind einige identische Updatedateien in beiden Bulletins vorhanden. Beachten Sie, dass identische Updatedateien, die in mehreren Bulletins angegeben werden, nicht mehrmals installiert werden müssen.

Gibt es Voraussetzungen für die in diesem Bulletin angebotenen Updates für betroffene Editionen von Microsoft Lync 2013 (Skype for Business)?
Ja. Benutzer, die betroffene Editionen von Microsoft Lync 2013 (Skype for Business) ausführen, müssen zuerst das im April 2015 veröffentlichte Update 2965218 für Office 2013 und dann das im Mai 2015 veröffentlichte Sicherheitsupdate 3039779 installieren. Weitere Informationen zu diesen beiden vorausgesetzten Updates finden Sie unter:

Warum ist das Update für Lync 2010 Attendee (Installation auf Benutzerebene) nur über das Microsoft Download Center erhältlich?
Microsoft gibt das Update für Lync 2010 Attendee (Installation auf Benutzerebene) nur im Microsoft Download Center frei. Da die Installation auf Benutzerebene von Lync 2010 Attendee durch eine Lync-Sitzung verarbeitet wird, sind Verteilungsmethoden wie automatische Aktualisierung nicht für diese Art von Installationsszenario geeignet.

Informationen zu Sicherheitsanfälligkeiten

Sicherheitsanfälligkeit bei Servereingabevalidierung bezüglich der Offenlegung von Informationen – CVE-2015-6061

Es besteht eine Sicherheitsanfälligkeit bezüglich der Offenlegung von Informationen, wenn Skype for Business- und Microsoft Lync-Clients Inhalte nicht ordnungsgemäß bereinigen. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, könnte HTML- und JavaScript-Inhalte im Skype for Business- oder Microsoft Lync-Client ausführen. Der Angreifer könnte diese Sicherheitsanfälligkeit ausnutzen, um eine Webseite im Standardbrowser zu öffnen, eine weitere Chat-Sitzung mit Dritten zu starten oder URIs aufzurufen, die von anderen Anwendungen auf dem Clientsystem definiert werden.

Um diese Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer einen Zielbenutzer zu einer Chat-Sitzung einladen und diesem Benutzer dann eine Nachricht mit speziell gestalteten JavaScript-Inhalten senden. Das Update behebt die Sicherheitsanfälligkeit, indem korrigiert wird, wie Skype for Business- und Microsoft Lync-Clients Inhalte bereinigen.

Microsoft hat durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit Informationen zu dieser Sicherheitsanfälligkeit erhalten. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen über Angriffe vor, mit denen versucht wird, diese Sicherheitsanfälligkeit auszunutzen.

Schadensbegrenzende Faktoren

Für diese Sicherheitsanfälligkeit gibt es noch keine schadensbegrenzenden Faktoren.

Problemumgehungen

Für diese Sicherheitsanfälligkeiten gibt es bislang keine Problemumgehungen.

Bereitstellung von Sicherheitsupdates

Informationen zur Bereitstellung von Sicherheitsupdates finden Sie im Microsoft Knowledge Base-Artikel, auf den hier in der Kurzzusammenfassung verwiesen wird.

Danksagung

Microsoft würdigt die Bemühungen derjenigen Benutzer der Sicherheitscommunity, die uns dabei helfen, Kunden durch eine koordinierte Offenlegung von Sicherheitsanfälligkeiten zu schützen. Weitere Informationen finden Sie unter Danksagung

Haftungsausschluss

Die Informationen in der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie.

Revisionen

  • V1.0 (10. November 2015): Bulletin veröffentlicht.

Seite generiert am 06.11.2015 um 13:54:00-08:00.