Microsoft 資訊安全公告 MS15-123 - 重要

解決資訊洩漏的商務用 Skype和 Microsoft Lync 安全性更新 (3105872)

發行日期:2015 年 11 月 10 日

版本: 1.0

提要

此安全性更新可解決商務用 Skype 和 Microsoft Lync 中的弱點。如果攻擊者邀請使用者進行立即訊息會話,並且將包含蓄意製作的 JavaScript 內容在其中的訊息傳送給使用者,則該弱點可能會允許資訊洩漏。

對於所有受支援版本的商務用 Skype 2016、Microsoft Lync 2013 和 Microsoft Lync 2010,此安全性更新的等級為「重要」。對於部份 Microsoft Lync 會議室系統元件,此安全性更新的等級也是「重要」。如需更多資訊,請參閱<受影響的軟體>一節。

安全性更新可修正商務用 Skype 和 Microsoft Lync 清理內容的方式,以解決該弱點。如需有關此弱點的詳細資訊,請參閱<弱點資訊>一節。

如需有關此更新的詳細資訊,請參閱 Microsoft 知識庫文章編號 3105872

受影響的軟體

下列軟體版號或版本會受到影響。未列出的版號或版本不是超出支援週期就是不受影響。若要瞭解您的軟體版本的支援週期,請參閱 Microsoft 產品技術支援週期網站

Microsoft 通訊平台和軟體

軟體

伺服器輸入驗證資訊洩漏弱點 - CVE-2015-6061

取代的更新

Microsoft 商務用 Skype 2016

商務用 Skype 2016 (32 位元)
(3085634)

重要
資訊洩漏

MS15-097 中的 2910994

商務用 Skype 基本版 2016 (32 位元)
(3085634)

重要
資訊洩漏

MS15-097 中的 2910994

商務用 Skype 2016 (64 位元)
(3085634)

重要
資訊洩漏

MS15-097 中的 2910994

商務用 Skype 基本版 2016 (64 位元)
(3085634)

重要
資訊洩漏

MS15-097 中的 2910994

Microsoft Lync 2013

Microsoft Lync 2013 Service Pack 1 (32 位元)
(商務用 Skype)[1] (3101496)

重要
資訊洩漏

MS15-097 中的 3085500

Microsoft Lync Basic 2013 Service Pack 1 (32 位元)
(商務用 Skype 基本版)[1] (3101496)

重要
資訊洩漏

MS15-097 中的 3085500

Microsoft Lync 2013 Service Pack 1 (64 位元)
(商務用 Skype)[1] (3101496)

重要
資訊洩漏

MS15-097 中的 3085500

Microsoft Lync Basic 2013 Service Pack 1 (64 位元)[1] (商務用 Skype 基本版)
(3101496)

重要
資訊洩漏

MS15-097 中的 3085500

Microsoft Lync 2010

Microsoft Lync 2010 (32 位元)
(3096735)

重要
資訊洩漏

MS15-097 中的 3081087

Microsoft Lync 2010 (64 位元)
(3096735)

重要
資訊洩漏

MS15-097 中的 3081087

Microsoft Lync 2010 Attendee[2] (使用者層次安裝)
(3096736)

重要
資訊洩漏

MS15-097 中的 3081088

Microsoft Lync 2010 Attendee
(系統管理員層次安裝)
(3096738)

重要
資訊洩漏

MS15-097 中的 3081089

Microsoft Lync 會議室系統

Microsoft Lync 會議室系統
(適用於 SMART 會議室系統)
(3108096)

重要
資訊洩漏

Microsoft Lync 會議室系統
(適用於 Crestron RL)
(3108096)

重要
資訊洩漏

[1]安裝此更新之前,您必須已安裝更新 2965218 和安全性更新 3039779。如需更多資訊,請參閱<更新常見問題集>

[2]此更新只能從 Microsoft 下載中心取得。

更新常見問題集

為什麼此公告中列出的某些更新檔案也會在 11 月份 Microsoft Office 公告 MS15-116 中指出?
此公告 MS15-123 中列出的數個更新檔案之所以也在 MS15-116 中指出,是因為受影響的軟體重疊。雖然不同公告解決兩個資訊安全漏洞,但是只要可行或適當,即會合併安全性更新。因此,部份相同的更新檔案出現在這兩個公告中。請注意,多個公告隨附的相同更新檔案只需安裝一次。

對於受影響版本的 Microsoft Lync 2013 (商務用 Skype),本公告中提供的任何更新是否有任何先決條件?
是的。執行受影響版本之 Microsoft Lync 2013 (商務用 Skype) 的客戶必須先安裝 2015 年 4 月針對 Office 2013 發行的 2965218 更新,然後安裝在 2015 年 5 月發行的 3039779 安全性更新。如需這兩個先決條件更新的詳細資訊,請參閱︰

為什麼只能從 Microsoft 下載中心取得 Lync 2010 Attendee (使用者層次安裝) 更新?
因為 Microsoft 只有在「Microsoft 下載中心」 (英文) 中發行 Lync 2010 Attendee (使用者層次安裝) 的更新。由於 Lync 2010 Attendee (使用者層級安裝) 是透過 Lync 工作階段進行處理,自動更新等發佈方法並不適用於此類型的安裝案例。

弱點資訊

伺服器輸入驗證資訊洩漏弱點 - CVE-2015-6061

商務用 Skype 和 Microsoft Lync 用戶端不當清理蓄意製作的內容時,存在資訊洩漏弱點。一旦成功利用該弱點,攻擊者將可執行商務用 Skype 或 Lync 環境中的 HTML 和 JavaScript 內容。攻擊者可利用此弱點,使用預設瀏覽器開啟網頁、開啟第三方的其他訊息工作階段,或可能觸發用戶端系統上的其他應用程式定義的 URI。

若要利用該弱點,攻擊者會邀請目標使用者進行立即訊息工作階段,然後將包含蓄意製作的 JavaScript 內容在其中的訊息傳送給使用者。更新可修正商務用 Skype 和 Microsoft Lync 清理內容的方式,以解決該弱點。

Microsoft 是經由協同合作的來源接獲有關此弱點的訊息。起初發行此資訊安全公告時,Microsoft 未覺察有嘗試利用此弱點的攻擊。

緩和因素

Microsoft 尚未找到此項弱點的任何緩和因素

因應措施

Microsoft 尚未找到此項弱點的任何因應措施

安全性更新部署

如需安全性更新部署資訊,請在這裡參閱<提要>中的 Microsoft 知識庫文章。

致謝

Microsoft 了解資訊安全業界所做的努力,其盡責地透露弱點來協助我們保護客戶。請參閱致謝 (英文) 以取得詳細資訊。

免責聲明

Microsoft 知識庫 (Microsoft Knowledge Base) 中的資訊係以其「現狀」提供,並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保,包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害,Microsoft Corporation 及其供應商皆不負任何法律責任,包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任,因此前述限制不適用於這些地區。

修訂

  • V1.0 (2015 年 11 月 10 日):公告發行。

頁面產生時間:06.11.15 13:54:00-08:00。