Boletín de seguridad de Microsoft MS15-123: importante
Actualización de seguridad para Skype Empresarial y Microsoft Lync para abordar la divulgación de información (3105872)
Publicado: 10 de noviembre de 2015
Versión: 1.0
Resumen ejecutivo
Esta actualización de seguridad resuelve una vulnerabilidad en Skype Empresarial y Microsoft Lync. La vulnerabilidad podría permitir la divulgación de información si un atacante invita a un usuario de destino a una sesión de mensajes instantáneos y, a continuación, envía al usuario un mensaje que contiene contenido javaScript especialmente diseñado.
Esta actualización de seguridad es importante para todas las ediciones compatibles de Skype Empresarial 2016, Microsoft Lync 2013 y Microsoft Lync 2010; también se clasifica Como importante para determinados componentes del sistema de salas de Microsoft Lync. Para obtener más información, consulte la sección Software afectado.
La actualización de seguridad aborda la vulnerabilidad mediante la corrección de cómo Skype Empresarial y los clientes de Microsoft Lync sane el contenido. Para obtener más información sobre la vulnerabilidad, consulte la sección Información de vulnerabilidades.
Para obtener más información sobre esta actualización, consulte el artículo de Microsoft Knowledge Base 3105872.
Software afectado
Las siguientes versiones o ediciones de software se ven afectadas. Las versiones o ediciones que no aparecen en la lista son anteriores a su ciclo de vida de soporte técnico o no se ven afectadas. Para determinar el ciclo de vida de soporte técnico de la versión o edición de software, consulte ciclo de vida de Soporte técnico de Microsoft.
Plataformas y software de comunicaciones de Microsoft
| Software | Vulnerabilidad de divulgación de información de validación de entrada del servidor: CVE-2015-6061 | Novedades reemplazado |
|---|---|---|
| Microsoft Skype Empresarial 2016 | ||
| Skype Empresarial 2016 (32 bits) \ (3085634) | Divulgación de información importante | 2910994 en MS15-097 |
| Skype Empresarial Basic 2016 (32 bits) (3085634) | Divulgación de información importante | 2910994 en MS15-097 |
| Skype Empresarial 2016 (64 bits) \ (3085634) | Divulgación de información importante | 2910994 en MS15-097 |
| Skype Empresarial Basic 2016 (64 bits) \ (3085634) | Divulgación de información importante | 2910994 en MS15-097 |
| Microsoft Lync 2013 | ||
| Microsoft Lync 2013 Service Pack 1 (32 bits) \ (Skype Empresarial)[1](3101496) | Divulgación de información importante | 3085500 en MS15-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (32 bits)\ (Skype Empresarial Basic)[1] \ (3101496) | Divulgación de información importante | 3085500 en MS15-097 |
| Microsoft Lync 2013 Service Pack 1 (64 bits) \ (Skype Empresarial)[1]\ (3101496) | Divulgación de información importante | 3085500 en MS15-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (64 bits)[1]\ (Skype Empresarial Básico) \ (3101496) | Divulgación de información importante | 3085500 en MS15-097 |
| Microsoft Lync 2010 | ||
| Microsoft Lync 2010 (32 bits) \ (3096735) | Divulgación de información importante | 3081087 en MS15-097 |
| Microsoft Lync 2010 (64 bits) \ (3096735) | Divulgación de información importante | 3081087 en MS15-097 |
| Asistente de Microsoft Lync 2010[2]\ (instalación de nivel de usuario) \ (3096736) | Divulgación de información importante | 3081088 en MS15-097 |
| Asistente de Microsoft Lync 2010 \ (instalación de nivel de administrador) \ (3096738) | Divulgación de información importante | 3081089 en MS15-097 |
| Sistema de salas de Microsoft Lync | ||
| Microsoft Lync Room System \ (For SMART Room System) \ (3108096) | Divulgación de información importante | None |
| Microsoft Lync Room System \ (Para Crestron RL) \ (3108096) | Divulgación de información importante | None |
[1]Antes de instalar esta actualización, debe tener instalada la actualización 2965218 y 3039779 la actualización de seguridad. Consulte las preguntas más frecuentes sobre la actualización para obtener más información.
[2]Esta actualización solo está disponible en el Centro de descarga de Microsoft.
Preguntas más frecuentes sobre la actualización
¿Por qué algunos de los archivos de actualización que aparecen en este boletín también se indican en el boletín de noviembre de Microsoft Office, MS15-116?
Varios de los archivos de actualización enumerados en este boletín, MS15-123, también se indican en MS15-116 debido a superposiciones en el software afectado. Aunque los dos boletines abordan vulnerabilidades de seguridad independientes, las actualizaciones de seguridad se han consolidado siempre que sea posible y adecuado. Por este motivo, algunos archivos de actualización idénticos están presentes en ambos boletines. Tenga en cuenta que no es necesario instalar más de una vez archivos de actualización idénticos con varios boletines.
¿Hay algún requisito previo para cualquiera de las actualizaciones que se ofrecen en este boletín para las ediciones afectadas de Microsoft Lync 2013 (Skype Empresarial)?
Sí. Los clientes que ejecutan ediciones afectadas de Microsoft Lync 2013 (Skype Empresarial) deben instalar primero la actualización de 2965218 para Office 2013 publicada en abril de 2015 y, a continuación, la actualización de seguridad de 3039779 publicada en mayo de 2015. Para obtener más información sobre estas dos actualizaciones de requisitos previos, consulte:
¿Por qué la actualización asistente de Lync 2010 (instalación de nivel de usuario) solo está disponible en el Centro de descarga de Microsoft?
Microsoft publica la actualización de Lync 2010 Attendee (instalación de nivel de usuario) solo en el Centro de descarga de Microsoft. Dado que la instalación de nivel de usuario del Asistente de Lync 2010 se controla a través de una sesión de Lync, los métodos de distribución como la actualización automática no son adecuados para este tipo de escenario de instalación.
Información de vulnerabilidad
Vulnerabilidad de divulgación de información de validación de entrada del servidor: CVE-2015-6061
Existe una vulnerabilidad de divulgación de información cuando Skype Empresarial y los clientes de Microsoft Lync sane incorrectamente contenido especialmente diseñado. Un atacante que aprovechara correctamente la vulnerabilidad podría ejecutar contenido HTML y JavaScript en el contexto de Skype Empresarial o Lync. El atacante podría usar esta vulnerabilidad para abrir una página web mediante el explorador predeterminado, abrir otra sesión de mensajería con un tercero o desencadenar URI potencialmente definidos por otras aplicaciones en el sistema del cliente.
Para aprovechar la vulnerabilidad, un atacante podría invitar a un usuario de destino a una sesión de mensaje instantáneo y, a continuación, enviar a ese usuario un mensaje que contiene contenido javaScript especialmente diseñado. La actualización aborda la vulnerabilidad mediante la corrección de cómo Skype Empresarial y los clientes de Microsoft Lync sane el contenido.
Microsoft recibió información sobre esta vulnerabilidad a través de la divulgación coordinada de vulnerabilidades. En el momento en que se emitió este boletín de seguridad originalmente, Microsoft no estaba consciente de ningún ataque que intente aprovechar esta vulnerabilidad.
Factores de mitigación
Microsoft no ha identificado ningún factor de mitigación para esta vulnerabilidad.
Soluciones alternativas
Microsoft no ha identificado ninguna solución alternativa para esta vulnerabilidad
Implementación de actualizaciones de seguridad
Para obtener información sobre la implementación de actualizaciones de seguridad, consulte el artículo de Microsoft Knowledge Base al que se hace referencia en el resumen ejecutivo.
Agradecimientos
Microsoft reconoce los esfuerzos de los miembros de la comunidad de seguridad que nos ayudan a proteger a los clientes a través de la divulgación coordinada de vulnerabilidades. Consulte Confirmaciones para obtener más información.
Declinación de responsabilidades
La información proporcionada en Microsoft Knowledge Base se proporciona "tal cual" sin garantía de ningún tipo. Microsoft renuncia a todas las garantías, ya sea expresas o implícitas, incluidas las garantías de comerciabilidad y idoneidad para un propósito determinado. En ningún caso, Microsoft Corporation o sus proveedores serán responsables de cualquier daño, incluyendo daños directos, indirectos, incidentales, consecuentes, pérdida de beneficios empresariales o daños especiales, incluso si Microsoft Corporation o sus proveedores han sido informados de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, por lo que es posible que no se aplique la limitación anterior.
Revisiones
- V1.0 (10 de noviembre de 2015): Boletín publicado.
Página generada 2015-11-11 12:25-08:00.</https:>