Microsoft Security Bulletin MS15-123 - Importante
Atualização de segurança para o Skype for Business e o Microsoft Lync para abordar a divulgação de informações (3105872)
Publicado em: 10 de novembro de 2015
Versão: 1.0
Resumo executivo
Esta atualização de segurança elimina uma vulnerabilidade no Skype for Business e no Microsoft Lync. A vulnerabilidade pode permitir a divulgação não autorizada de informações se um invasor convidar um usuário de destino para uma sessão de mensagem instantânea e, em seguida, enviar a esse usuário uma mensagem contendo conteúdo JavaScript especialmente criado.
Esta atualização de segurança é classificada como Importante para todas as edições com suporte do Skype for Business 2016, Microsoft Lync 2013 e Microsoft Lync 2010; ele também é classificado como Importante para determinados componentes do Sistema de Salas do Microsoft Lync. Para obter mais informações, consulte a seção Softwares afetados.
A atualização de segurança elimina a vulnerabilidade corrigindo como os clientes Skype for Business e Microsoft Lync limpam o conteúdo. Para obter mais informações sobre a vulnerabilidade, consulte a seção Informações sobre a vulnerabilidade.
Para obter mais informações sobre essa atualização, consulte o artigo 3105872 da Base de Dados de Conhecimento Microsoft.
Softwares afetados
As seguintes versões ou edições de software são afetadas. As versões ou edições que não estão listadas já passaram do ciclo de vida de suporte ou não são afetadas. Para determinar o ciclo de vida de suporte para sua versão ou edição de software, consulte Ciclo de Vida do Suporte da Microsoft.
Software e plataformas de comunicação da Microsoft
| Software | Vulnerabilidade de divulgação não autorizada de informações de validação de entrada do servidor - CVE-2015-6061 | Atualizações substituídas |
|---|---|---|
| Microsoft Skype para Empresas 2016 | ||
| Skype for Business 2016 (32 bits) \ (3085634) | Divulgação de Informações Importantes | 2910994 em MS15-097 |
| Skype for Business Basic 2016 (32 bits) (3085634) | Divulgação de Informações Importantes | 2910994 em MS15-097 |
| Skype for Business 2016 (64 bits) \ (3085634) | Divulgação de Informações Importantes | 2910994 em MS15-097 |
| Skype for Business Basic 2016 (64 bits) \ (3085634) | Divulgação de Informações Importantes | 2910994 em MS15-097 |
| Microsoft Lync 2013 | ||
| Microsoft Lync 2013 Service Pack 1 (32 bits) \ (Skype for Business)[1](3101496) | Divulgação de Informações Importantes | 3085500 em MS15-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (32 bits)\ (Skype for Business Basic)[1] \ (3101496) | Divulgação de Informações Importantes | 3085500 em MS15-097 |
| Microsoft Lync 2013 Service Pack 1 (64 bits) \ (Skype for Business)[1]\ (3101496) | Divulgação de Informações Importantes | 3085500 em MS15-097 |
| Microsoft Lync Basic 2013 Service Pack 1 (64 bits)[1]\ (Skype for Business Basic) \ (3101496) | Divulgação de Informações Importantes | 3085500 em MS15-097 |
| Microsoft Lync 2010 | ||
| Microsoft Lync 2010 (32 bits) \ (3096735) | Divulgação de Informações Importantes | 3081087 no boletim MS15-097 |
| Microsoft Lync 2010 (64 bits) \ (3096735) | Divulgação de Informações Importantes | 3081087 no boletim MS15-097 |
| Microsoft Lync 2010 Attendee[2]\ (instalação em nível de usuário) \ (3096736) | Divulgação de Informações Importantes | 3081088 no boletim MS15-097 |
| Participante do Microsoft Lync 2010 \ (instalação de nível administrativo) \ (3096738) | Divulgação de Informações Importantes | 3081089 em MS15-097 |
| Sistema de Salas do Microsoft Lync | ||
| Sistema de Salas do Microsoft Lync \ (Para Sistema de Salas SMART) \ (3108096) | Divulgação de Informações Importantes | Nenhum |
| Sistema de Salas do Microsoft Lync \ (Para Crestron RL) \ (3108096) | Divulgação de Informações Importantes | Nenhum |
[1]Antes de instalar esta atualização, você deve ter 2965218 de atualização e 3039779 de atualização de segurança instalados. Consulte as Perguntas frequentes sobre atualização para obter mais informações.
[2]Esta atualização está disponível somente no Centro de Download da Microsoft.
Perguntas frequentes sobre atualizações
Por que alguns dos arquivos de atualização listados neste boletim também são indicados no boletim do Microsoft Office de novembro, MS15-116?
Vários dos arquivos de atualização listados neste boletim, MS15-123, também são indicados no boletim MS15-116 devido a sobreposições no software afetado. Embora os dois boletins abordem vulnerabilidades de segurança separadas, as atualizações de segurança foram consolidadas sempre que possível e apropriado. Por esse motivo, alguns arquivos de atualização idênticos estão presentes em ambos os boletins. Observe que arquivos de atualização idênticos enviados com vários boletins não precisam ser instalados mais de uma vez.
Há algum pré-requisito para qualquer uma das atualizações oferecidas neste boletim para edições afetadas do Microsoft Lync 2013 (Skype for Business)?
Sim. Os clientes que executam edições afetadas do Microsoft Lync 2013 (Skype for Business) devem primeiro instalar a atualização de 2965218 para o Office 2013 lançada em abril de 2015 e, em seguida, a atualização de segurança 3039779 lançada em maio de 2015. Para obter mais informações sobre essas duas atualizações de pré-requisito, consulte:
Por que a atualização do Lync 2010 Attendee (instalação em nível de usuário) só está disponível no Centro de Download da Microsoft?
A Microsoft está lançando a atualização para o Lync 2010 Attendee (instalação em nível de usuário) somente para o Centro de Download da Microsoft. Como a instalação em nível de usuário do Lync 2010 Attendee é manipulada por meio de uma sessão do Lync, métodos de distribuição, como a atualização automática, não são apropriados para esse tipo de cenário de instalação.
Informações de vulnerabilidade
Vulnerabilidade de divulgação não autorizada de informações de validação de entrada do servidor - CVE-2015-6061
Existe uma vulnerabilidade de divulgação não autorizada de informações quando os clientes Skype for Business e Microsoft Lync limpam indevidamente conteúdo especialmente criado. O invasor que explorar com êxito a vulnerabilidade poderá executar conteúdo HTML e JavaScript no contexto do Skype for Business ou do Lync. O invasor pode usar essa vulnerabilidade para abrir uma página da Web usando o navegador padrão, abrir outra sessão de mensagens com terceiros ou potencialmente acionar URIs definidos por outros aplicativos no sistema do cliente.
Para explorar a vulnerabilidade, um invasor pode convidar um usuário de destino para uma sessão de mensagem instantânea e, em seguida, enviar a esse usuário uma mensagem contendo conteúdo JavaScript especialmente criado. A atualização elimina a vulnerabilidade corrigindo como os clientes Skype for Business e Microsoft Lync limpam o conteúdo.
A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades. No momento em que este boletim de segurança foi publicado originalmente, a Microsoft não estava ciente de qualquer ataque que tentasse explorar esta vulnerabilidade.
Fatores atenuantes
A Microsoft não identificou nenhum fator atenuante para esta vulnerabilidade.
Soluções Alternativas
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade
Implantação de atualização de segurança
Para obter informações sobre a Implantação da Atualização de Segurança, consulte o artigo da Base de Dados de Conhecimento Microsoft mencionado no Resumo Executivo.
Agradecimentos
A Microsoft reconhece os esforços daqueles na comunidade de segurança que nos ajudam a proteger os clientes por meio da divulgação coordenada de vulnerabilidades. Consulte Agradecimentos para obter mais informações.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem qualquer tipo de garantia. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (10 de novembro de 2015): Boletim publicado.
Página gerada em 11/11/2015 12:25-08:00.</https:>