Microsoft 安全公告 MS15-104 - 重要

Skype for Business Server 和 Microsoft Lync Server 中的漏洞可能允许特权提升 (3089952)

发布日期:2015 年 9 月 8 日 | 更新时间: September 11, 2015

版本: 1.1

执行摘要

此安全更新可修复 Skype for Business Server 和 Microsoft Lync Server 中的漏洞。如果用户单击经特殊设计的 URL,则最严重的漏洞可能允许特权提升。攻击者必须诱使用户单击即时消息或电子邮件中的链接,通过经特殊设计的 URL 将用户转到受影响的网站。

对于 Skype for Business Server 2015 和 Microsoft Lync Server 2013 的所有受支持版本,此安全更新的等级为?重要?。有关详细信息,请参阅?受影响的软件?部分。

此安全更新通过更新 Business Server 和 Lync Server 中的 jQuery 以正确清理用户输入以及通过更正 Skype for Business Server 和 Lync Server 清理用户输入的方式来修复漏洞。有关这些漏洞的详细信息,请参阅?漏洞信息?一节。

有关此更新的详细信息,请参阅 Microsoft 知识库文章 3089952

更新常见问题

**对于 Microsoft Lync Server 2013,安装此公告中所列的更新是否存在任何先决条件?  **有。在为 Microsoft Lync Server 2013 安装此更新前,必须先安装 Lync Server 2013 累积更新 2809243。启用了自动更新的客户不需要采取任何行动,因为累积更新将自动下载并安装。手动测试和安装独立程序包的客户在应用此公告所列的更新之前必须确保安装 2809243 更新。

有关先决条件累积更新和下载链接的详细信息,请参阅 Lync Server 2013 累积更新知识库 2809243

受影响的软件和漏洞严重等级

以下软件版本都受到影响。未列出的版本的支持生命周期已结束或者不受影响。要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期

对每个受影响软件标记的严重等级假设漏洞可能造成的最大影响。有关此安全公告发布 30 天内,漏洞利用的安全等级和安全影响的可能性的信息,请参阅 9 月份公告摘要中的利用指数。

**受影响的软件** [**Skype for Business Server 和 Lync Server XSS 信息泄漏漏洞 - CVE-2015-2531**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2531) [**Lync Server XSS 信息泄漏漏洞 - CVE-2015-2532**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2532) [**Skype for Business Server 和 Lync Server XSS 特权提升漏洞 - CVE-2015-2536**](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2015-2536) **替代的更新**\*
**Microsoft Lync Server 2013**
[Microsoft Lync Server 2013](https://www.microsoft.com/zh-cn/download/details.aspx?id=48875) (Web 组件服务器) (3080353) **重要** 信息泄漏 **重要** 信息泄漏 **重要** 特权提升 [MS14-055](https://technet.microsoft.com/zh-cn/library/security/ms14-055) 中的 2982390
**Skype for Business Server 2015**
[Skype for Business Server 2015](https://www.microsoft.com/zh-cn/download/details.aspx?id=48865) (3061064) **重要** 信息泄漏 不适用 **重要** 特权提升

*在取代的更新链中,“替代的更新”列仅显示最新的更新。有关替代的更新的完整列表,请转到 Microsoft 更新目录,搜索更新知识库编号,然后查看更新详细信息(替代的更新信息位于?程序包详细信息?选项卡)。

漏洞信息

Skype for Business Server 和 Lync Server XSS 信息泄漏漏洞 - CVE-2015-2531

当 Skype for Business Server 或 Lync Server 中的 jQuery 引擎无法正确清理经特殊设计的内容时,存在跨站点脚本 (XSS) 漏洞,该漏洞可能导致信息泄漏。成功利用此漏洞的攻击者可能会在用户的浏览器中执行脚本以从 Web 会话获取信息。

用户必须单击特制 URL,此漏洞才会被利用。

在电子邮件攻击情形中,攻击者可能通过向用户发送包含特制 URL 的电子邮件,并诱使用户单击特制 URL 来利用此漏洞。

在基于 Web 的攻击情形中,攻击者必须拥有一个包含特制 URL 的网站。另外,已入侵网站以及接受或托管用户提供的内容的网站可能包含可利用此漏洞的经特殊设计的内容。攻击者无法强迫用户访问此类网站。相反,攻击者必须诱使用户访问该网站,方法通常是让用户单击 Instant Messenger 或电子邮件消息中的链接以使用户通过经特殊设计的 URL 访问受影响的网站。

安装了 Skype for Business Server 或 Microsoft Lync Server 的受影响版本的系统以及连接到它们的客户端均受此漏洞威胁。此更新通过更新 Skype for Business Server 和 Lync Server 中 jQuery 正确清理用户输入的方式来修复漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

Lync Server XSS 信息泄漏漏洞 - CVE-2015-2532

当 Lync Server 无法正确清理经特殊设计的内容时,存在可能导致信息泄漏的跨站点脚本 (XSS) 漏洞。成功利用此漏洞的攻击者可能会在用户的浏览器中执行脚本以从 Web 会话获取信息。

用户必须单击特制 URL,此漏洞才会被利用。

在电子邮件攻击情形中,攻击者可能通过向用户发送包含特制 URL 的电子邮件,并诱使用户单击特制 URL 来利用此漏洞。

在基于 Web 的攻击情形中,攻击者必须拥有一个包含特制 URL 的网站。另外,已入侵网站以及接受或托管用户提供的内容的网站可能包含可利用此漏洞的经特殊设计的内容。攻击者无法强迫用户访问经特殊设计的网站,相反,攻击者必须诱使用户访问该网站,方法通常是让用户单击 Instant Messenger 或电子邮件消息中的链接以使用户通过经特殊设计的 URL 访问受影响的网站。

安装了 Microsoft Lync Server 的受影响版本的系统以及连接到它们的客户端均受此漏洞威胁。此更新通过更正 Lync Server 清理用户输入的方式来修复漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

Skype for Business Server 和 Lync Server XSS 特权提升漏洞 - CVE-2015-2536

当 Skype for Business Server 或 Lync Server 无法正确清理经特殊设计的内容时,存在跨站点脚本 (XSS) 漏洞,该漏洞可能导致特权提升。成功利用此漏洞的攻击者可执行任意代码,并可控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

用户必须单击特制 URL,此漏洞才会被利用。

在电子邮件攻击情形中,攻击者可能通过向用户发送包含特制 URL 的电子邮件,并诱使用户单击特制 URL 来利用此漏洞。

在基于 Web 的攻击情形中,攻击者必须拥有一个包含特制 URL 的网站。另外,已入侵网站以及接受或托管用户提供的内容的网站可能包含可利用此漏洞的经特殊设计的内容。攻击者无法强迫用户访问经特殊设计的网站,攻击者无法强迫用户访问此类网站。相反,攻击者必须诱使用户访问该网站,方法通常是让用户单击 Instant Messenger 或电子邮件消息中的链接以使用户通过经特殊设计的 URL 访问受影响的网站。

安装了 Skype for Business Server 或 Microsoft Lync Server 的受影响版本的系统以及连接到它们的客户端均受此漏洞威胁。此更新通过更正 Lync Server 清理用户输入的方式来修复漏洞。

Microsoft 通过协同的漏洞披露渠道了解到此漏洞的信息。在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。

缓解因素

Microsoft 并未发现此漏洞的任何缓解因素

变通办法

Microsoft 并未发现此漏洞的任何变通办法

安全更新程序部署

有关安全更新部署信息,请参阅执行摘要中此处引用的 Microsoft 知识库文章。

鸣谢

Microsoft 通过协调漏洞披露渠道认可在安全社区中帮助我们对客户进行保护的人们所做出的努力。有关详细信息,请参阅鸣谢部分。

免责声明

Microsoft 知识库中的信息“按原样”提供,没有任何形式的担保。Microsoft 不作任何明示或暗示保证,包括对适销性和针对特定目的的适用性的保证。Microsoft Corporation 或其供应商不对任何损害(包括直接的、间接的、偶然的、必然的损害,商业利润损失,或特殊损害)承担任何责任,即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。有些州不允许排除或限制必然或偶然损害的赔偿责任,因此上述限制可能不适用。

修订版本

  • V1.0(2015 年 9 月 8 日):公告已发布。
  • V1.1(2015 年 9 月 11 日):已修订公告,以更新“更新常见问题”部分中的先决条件详细信息。此仅为信息变更。已成功安装这些更新的客户无需采取任何措施。

页面生成时间:11.09.15 13:49:00-07:00。