Modèle de document MSRC

Bulletin de sécurité Microsoft MS15-123 - Important

Mise à jour de sécurité pour Skype Entreprise et Microsoft Lync afin de résoudre les problèmes de divulgation d'informations (3105872)

Date de publication : 10.11.15

Version : 1.0

Synthèse

Cette mise à jour de sécurité corrige une vulnérabilité dans Skype Entreprise et Microsoft Lync. Cette vulnérabilité autorise une divulgation d'informations si un attaquant invite un utilisateur cible à une session de messagerie instantanée puis lui envoie un message contenant du contenu JavaScript spécialement conçu.

Cette mise à jour de sécurité est de niveau « important » pour toutes les éditions prises en charge de Skype Entreprise 2016, Microsoft Lync 2013 et Microsoft Lync 2010. Elle est également qualifiée d'importante pour certains composants de système de salle Microsoft Lync. Pour plus d'informations, consultez la section Logiciels concernés.

Cette mise à jour de sécurité corrige la vulnérabilité en modifiant la manière dont les clients Skype Entreprise et Microsoft Lync nettoient le contenu. Pour plus d'informations sur la vulnérabilité, consultez la section Informations par vulnérabilité.

Pour plus d'informations sur cette mise à jour, voir l'Article 3105872 de la Base de connaissances Microsoft.

Logiciels concernés

Les versions ou éditions répertoriées ci-dessous sont concernées. Les versions ou éditions non répertoriées ont atteint la fin de leur cycle de vie ou ne sont pas concernées. Consultez le site web Politique de Support Microsoft afin de connaître la politique de support Microsoft pour votre version ou édition.

Plateformes et logiciels Microsoft Communications

Logiciels

Vulnérabilité de divulgation d'informations liée à la validation des entrées de serveur - CVE-2015-6061

Mises à jour remplacées

Microsoft Skype Entreprise 2016

Skype Entreprise 2016 (32 bits)
(3085634)

Important
Divulgation d'informations

2910994 dans le Bulletin MS15-097

Skype Entreprise Basic 2016 (32 bits)
(3085634)

Important
Divulgation d'informations

2910994 dans le Bulletin MS15-097

Skype Entreprise 2016 (64 bits)
(3085634)

Important
Divulgation d'informations

2910994 dans le Bulletin MS15-097

Skype Entreprise Basic 2016 (64 bits)
(3085634)

Important
Divulgation d'informations

2910994 dans le Bulletin MS15-097

Microsoft Lync 2013

Microsoft Lync 2013 Service Pack 1 (32 bits)
(Skype Entreprise)[1] (3101496)

Important
Divulgation d'informations

3085500 dans le Bulletin MS15-097

Microsoft Lync Basic 2013 Service Pack 1 (32 bits)
(Skype Entreprise Basic)[1] (3101496)

Important
Divulgation d'informations

3085500 dans le Bulletin MS15-097

Microsoft Lync 2013 Service Pack 1 (64 bits)
(Skype Entreprise)[1] (3101496)

Important
Divulgation d'informations

3085500 dans le Bulletin MS15-097

Microsoft Lync Basic 2013 Service Pack 1 (64 bits)[1] (Skype Entreprise Basic)
(3101496)

Important
Divulgation d'informations

3085500 dans le Bulletin MS15-097

Microsoft Lync 2010

Microsoft Lync 2010 (32 bits)
(3096735)

Important
Divulgation d'informations

3081087 dans le Bulletin MS15-097

Microsoft Lync 2010 (64 bits)
(3096735)

Important
Divulgation d'informations

3081087 dans le Bulletin MS15-097

Microsoft Lync 2010 Attendee[2] (installation au niveau utilisateur)
(3096736)

Important
Divulgation d'informations

3081088 dans le Bulletin MS15-097

Microsoft Lync 2010 Attendee
(installation au niveau administrateur)
(3096738)

Important
Divulgation d'informations

3081089 dans le Bulletin MS15-097

Système de salle pour Microsoft Lync

Système de salle pour Microsoft Lync
(Pour SMART Room System)
(3108096)

Important
Divulgation d'informations

Aucune

Système de salle pour Microsoft Lync
(Pour Crestron RL)
(3108096)

Important
Divulgation d'informations

Aucune

[1]Avant d'installer cette mise à jour, vous devez avoir installé la mise à jour 2965218 et la mise à jour de sécurité 3039779. Pour plus d'informations, consultez le Forum aux questions concernant les mises à jour.

[2]Cette mise à niveau est uniquement disponible à partir du Centre de téléchargement Microsoft.

Forum aux questions concernant les mises à jour

Pourquoi certains des fichiers de mise à jour répertoriés dans ce Bulletin sont-ils également mentionnés dans le Bulletin Microsoft Office MS15-116 de novembre ?
Certains des fichiers de mise à jour figurant dans ce Bulletin (MS15-123) sont également désignés dans le Bulletin MS15-116 en raison de chevauchements au niveau des logiciels affectés. Bien que les deux Bulletins corrigent des vulnérabilités de sécurité distinctes, les mises à jour de sécurité ont été consolidées lorsque cela était possible et approprié. C'est la raison pour laquelle certains fichiers de mise à jour identiques sont présents dans les deux Bulletins. Notez que des fichiers de mise à jour identiques fournis avec plusieurs Bulletins ne doivent pas être installés plusieurs fois.

Y a-t-il des conditions requises pour l'une des mises à jour proposées dans ce Bulletin pour les éditions affectées de Microsoft Lync 2013 (Skype Entreprise)?
Oui. Les clients utilisant des éditions affectées de Microsoft Lync 2013 (Skype Entreprise) doivent d'abord installer la mise à jour 2965218 pour Office 2013 publiée en avril 2015, puis la mise à jour de sécurité 3039779 publiée en mai 2015. Pour plus d'informations sur ces deux mises à jour prérequises, voir :

Pourquoi la mise à jour de Lync 2010 Attendee (installation au niveau utilisateur) est-elle disponible uniquement à partir du Centre de téléchargement Microsoft ?
Microsoft publie la mise à jour pour Lync 2010 Attendee (installation au niveau utilisateur) dans le Centre de téléchargement Microsoft uniquement. Étant donné que l'installation au niveau utilisateur de Lync 2010 Attendee est gérée via une session Lync, les méthodes de distribution, telles que les mises à jour automatiques, ne sont pas appropriées à ce type de scénario d'installation.

Informations par vulnérabilité

Vulnérabilité de divulgation d'informations liée à la validation des entrées de serveur - CVE-2015-6061

Il existe une vulnérabilité de divulgation d'informations lorsque les clients Skype Entreprise et Microsoft Lync ne nettoient pas correctement le contenu spécialement conçu. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du contenu HTML et JavaScript dans le contexte Skype Entreprise ou Lync. L'attaquant pourrait utiliser cette vulnérabilité pour ouvrir une page web en utilisant le navigateur par défaut, ouvrir une autre session de messagerie avec un tiers, voire déclencher des URI définis par d'autres applications sur le système du client.

Pour exploiter cette vulnérabilité, un attaquant pourrait inviter un utilisateur cible à une session de messagerie instantanée puis lui envoyer un message contenant du contenu JavaScript spécialement conçu. Cette mise à jour corrige la vulnérabilité en modifiant la manière dont les clients Skype Entreprise et Microsoft Lync nettoient le contenu.

Microsoft a été informée de cette vulnérabilité par une divulgation de vulnérabilité coordonnée. Au moment de la publication initiale de ce bulletin de sécurité, Microsoft n'était au courant d'aucune attaque visant à exploiter cette vulnérabilité.

Facteurs atténuants

Microsoft n'a identifié aucun facteur atténuant pour cette vulnérabilité.

Solutions de contournement

Microsoft n'a identifié aucune solution de contournement pour cette vulnérabilité

Déploiement de la mise à jour de sécurité

Pour plus d'informations sur le déploiement des mises à jour de sécurité, consultez l'article de la Base de connaissances Microsoft référencé ici dans la synthèse.

Remerciements

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Reportez-vous à la page Remerciements pour plus d'informations.

Clause d’exclusion de responsabilité

Les informations fournies dans la Base de connaissances Microsoft sont fournies sans aucune garantie. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas, la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays ne permettent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires de sorte que la limitation ci-dessus peut ne pas appliquer.

Révisions

  • V1.0 (10.11.15) : Bulletin publié.

Page générée le 06/11/2015 13:54-08:00.