マイクロソフト セキュリティ情報 MS15-123 - 重要

情報漏えいに対処する Skype for Business および Microsoft Lync 用のセキュリティ更新プログラム (3105872)

公開日:2015 年 11 月 11 日

バージョン: 1.0

概要

このセキュリティ更新プログラムは、Skype for Business Server および Microsoft Lync の脆弱性を解決します。この脆弱性により、攻撃者が標的のユーザーをインスタント メッセージ セッションに招待し、特別に細工された JavaScript コンテンツが含まれるメッセージをそのユーザーに送信した場合、情報漏えいが起こる可能性があります。

このセキュリティ更新プログラムは、すべてのサポートされているエディションの Skype for Business Server 2016、Microsoft Lync 2013、および Microsoft Lync 2010 について、深刻度が「重要」と評価されています。また、一部の Microsoft Lync Room System コンポーネントについても、深刻度が「重要」と評価されています。詳細については、「影響を受けるソフトウェア」のセクションを参照してください。

このセキュリティ更新プログラムは、Skype for Business および Microsoft Lync のクライアントがコンテンツをサニタイズする方法を修正することによってこの脆弱性を解決します。脆弱性の詳細については、「脆弱性の情報」を参照してください。

この更新プログラムの詳細については、マイクロソフト サポート技術情報 3105872 を参照してください。

影響を受けるソフトウェア

次のソフトウェア バージョンまたはエディションが影響を受けます。一覧にないバージョンまたはエディションは、サポート ライフサイクルが終了しているか、この脆弱性の影響を受けません。ご使用中のソフトウェアのバージョンまたはエディションのサポート ライフ サイクルを確認するには、Microsoft サポート ライフサイクルの Web サイトを参照してください。

Microsoft コミュニケーション プラットフォームおよびソフトウェア

**ソフトウェア** [**サーバー入力検証の情報漏えいの脆弱性 - CVE-2015-6061**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-6061) **置き換えられる更新プログラム**
**Microsoft Skype for Business 2016**
[Skype for Business 2016](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=6740e6b7-fbd8-46b8-ad4c-ae5549eba5d6) (32 ビット) (3085634) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 2910994
[Skype for Business Basic 2016](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=6740e6b7-fbd8-46b8-ad4c-ae5549eba5d6) (32 ビット) (3085634) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 2910994
[Skype for Business 2016](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=9afe6843-032f-4217-b363-e8a985f477a9) (64 ビット) (3085634) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 2910994
[Skype for Business Basic 2016](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=9afe6843-032f-4217-b363-e8a985f477a9) (64 ビット) (3085634) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 2910994
**Microsoft Lync 2013**
[Microsoft Lync 2013 Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=06e53e84-2a74-4ca2-97b3-7d9c49f6cf22) (32 ビット) (Skype for Business)[1] (3101496) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 3085500
[Microsoft Lync Basic 2013 Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=06e53e84-2a74-4ca2-97b3-7d9c49f6cf22) (32 ビット) (Skype for Business Basic)[1] (3101496) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 3085500
[Microsoft Lync 2013 Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=289a16ec-c020-4ce5-8fa5-5508ffc1dbdc) (64 ビット) (Skype for Business)[1] (3101496) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 3085500
[Microsoft Lync Basic 2013 Service Pack 1](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=289a16ec-c020-4ce5-8fa5-5508ffc1dbdc) (64 ビット)[1] (Skype for Business Basic) (3101496) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 3085500
**Microsoft Lync 2010**
[Microsoft Lync 2010](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=2d03e134-b9e8-4682-84c6-c30ba680e264) (32 ビット) (3096735) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 3081087
[Microsoft Lync 2010](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=0e698321-2bd0-411d-85aa-0c9c1c23b7fe) (64 ビット) (3096735) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 3081087
[Microsoft Lync 2010 Attendee](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=bab806e4-1c3b-49c8-9773-1927d82359ac)[2] (ユーザー レベル インストール) (3096736) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 3081088
[Microsoft Lync 2010 Attendee](https://www.microsoft.com/download/ja-jp/details.aspx?familyid=63b2ebaa-2867-4f8b-bb9c-1d9bab3ba9f8) (管理レベル インストール) (3096738) **重要** 情報漏えい [MS15-097](https://go.microsoft.com/fwlink/?linkid=623625) の 3081089
**Microsoft Lync Room System**
[Microsoft Lync Room System](https://go.microsoft.com/fwlink/?linkid=299574) (SMART Room System 関連) (3108096) **重要** 情報漏えい なし
[Microsoft Lync Room System](https://go.microsoft.com/fwlink/?linkid=299575) (Crestron RL 関連) (3108096) **重要** 情報漏えい なし

[1]この更新プログラムをインストールする前に、更新プログラム 2965218 およびセキュリティ更新プログラム 3039779 をインストールする必要があります。詳細については、「更新プログラムに関する FAQ」を参照してください。

[2]この更新プログラムは、Microsoft ダウンロード センターからのみ入手可能です。

更新プログラムに関する FAQ

このセキュリティ情報でリストアップされた更新プログラム ファイルの一部が、11 月の Microsoft Office のセキュリティ情報 MS15-116 でも示されているのはなぜですか。 このセキュリティ情報 MS15-123 でリストアップされたいくつかの更新プログラム ファイルは、影響を受けるソフトウェアが重複するため、MS15-116 でも示されます。2 つのセキュリティ情報は別のセキュリティ脆弱性を解決するものですが、セキュリティ更新プログラムは可能で適切である限り統合されています。このため、いくつかの同じ更新プログラム ファイルが両方のセキュリティ情報で示されることになります。複数のセキュリティ情報に含まれている同一の更新プログラム ファイルを複数回インストールする必要はありません。

影響を受けるエディションの Microsoft Lync 2013 (Skype for Business) 用にこのセキュリティ情報で提供されるいずれかの更新プログラムに必要条件はありますか?
はい。影響を受けるエディションの Microsoft Lync 2013 (Skype for Business) を実行しているお客様は、最初に 2015 年 4 月リリースされた Office 2013 の更新プログラム 2965218 をインストールし、その後に 2015 年 5 月にリリースされたセキュリティ更新プログラム 3039779 をインストールする必要があります。これらの 2 つの必要条件となる更新プログラムの詳細については、以下を参照してください。

Lync 2010 Attendee (ユーザー レベル インストール) 更新プログラムが Microsoft ダウンロード センターからのみ入手できる理由を教えてください。
マイクロソフトでは、Lync 2010 Attendee (ユーザー レベル インストール) の更新プログラムを Microsoft ダウンロード センターでのみ提供しています。これは、Lync 2010 Attendee のユーザー レベル インストールが Lync セッションを介して処理されるので、自動更新などの配布方法がこのタイプのインストール シナリオに適していないためです。

脆弱性の情報

サーバー入力検証の情報漏えいの脆弱性 - CVE-2015-6061

Skype for Business および Microsoft Lync のクライアントが特別に細工されたコンテンツを適切にサニタイズしない場合に、情報漏えいの脆弱性が存在します。攻撃者がこの脆弱性を悪用した場合、Skype for Business または Lync のコンテキストで、HTML と JavaScript のコンテンツを実行する可能性があります。攻撃者はこの脆弱性を悪用して、既定のブラウザーを使用して Web ページを開いたり、第三者との別のメッセージング セッションを開いたり、クライアントのシステム上で他のアプリケーションにより定義されている URI を呼び出したりする可能性があります。

この脆弱性の悪用を目的として、攻撃者は、標的のユーザーをインスタント メッセージ セッションに招待し、特別に細工された JavaScript コンテンツが含まれるメッセージをそのユーザーに送信する可能性があります。この更新プログラムは、Skype for Business および Microsoft Lync のクライアントがコンテンツをサニタイズする方法を修正することによってこの脆弱性を解決します。

マイクロソフトは、協調的な脆弱性の公開を通じてこの脆弱性に関する情報を得ました。このセキュリティ情報が最初に公開された時点では、マイクロソフトはこの脆弱性を悪用しようとする攻撃を確認していません。

問題を緩和する要素

マイクロソフトは、この脆弱性の問題を緩和する要素を確認していません。

回避策

マイクロソフトは、この脆弱性の回避策を確認していません。

セキュリティ更新プログラムの展開

セキュリティ更新プログラムの展開については、「概要」のこちらで言及されているマイクロソフト サポート技術情報を参照してください。

謝辞

マイクロソフトでは、協調的な脆弱性の公開によるお客様の保護に際して、セキュリティ コミュニティの方々からいただいたご助力に感謝いたします。詳細については、謝辞を参照してください。

免責

マイクロソフト サポート技術情報に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation およびその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation およびその関連会社は、本文書に含まれている情報の使用および使用結果につき、正確性、真実性など、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社およびこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社およびこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含むすべての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴

  • V1.0 (2015/11/11):このセキュリティ情報ページを公開しました。

Page generated 2015-11-10 10:03-08:00.