此安全更新可解决 Skype for Business 和 Microsoft Lync 中的一个漏洞。如果攻击者邀请目标用户进入即时消息会话,然后向该用户发送包含特制 JavaScript 内容的消息,此漏洞会导致信息泄露。
对于 Skype for Business 2016、Microsoft Lync 2013 和 Microsoft Lync 2010 的所有受支持版本,此安全更新的等级为“重要”;对于某些 Microsoft Lync Room System 组件,此安全更新的等级也是“重要”。有关详细信息,请参阅“受影响的软件”部分。
此安全更新通过更正 Skype for Business 和 Microsoft Lync 客户端清理内容的方式来解决漏洞。有关该漏洞的详细信息,请参阅“漏洞信息”一节。
More
此安全更新可修复 Skype for Business Server 和 Microsoft Lync Server 中的漏洞。 如果用户单击经特殊设计的 URL,则最严重的漏洞可能允许特权提升。 攻击者必须诱使用户单击或 Instant Messenger 或电子邮件消息中的链接,以使用户通过经特殊设计的 URL 链接到受影响的网站。
对于 Skype for Business Server 2015 和 Microsoft Lync Server 2013 的所有受支持版本,此安全更新的等级为“重要”。
此安全更新通过更新 Business Server 和 Lync Server 中的 jQuery 以正确清理用户输入以及通过更正 Skype for Business Server 和 Lync Server 清理用户输入的方式来修复漏洞。
More