此安全更新可解决 Skype for Business 和 Microsoft Lync 中的一个漏洞。如果攻击者邀请目标用户进入即时消息会话,然后向该用户发送包含特制 JavaScript 内容的消息,此漏洞会导致信息泄露。
对于 Skype for Business 2016、Microsoft Lync 2013 和 Microsoft Lync 2010 的所有受支持版本,此安全更新的等级为“重要”;对于某些 Microsoft Lync Room System 组件,此安全更新的等级也是“重要”。有关详细信息,请参阅“受影响的软件”部分。
此安全更新通过更正 Skype for Business 和 Microsoft Lync 客户端清理内容的方式来解决漏洞。有关该漏洞的详细信息,请参阅“漏洞信息”一节。
More
此安全更新可修复 Skype for Business Server 和 Microsoft Lync Server 中的漏洞。 如果用户单击经特殊设计的 URL,则最严重的漏洞可能允许特权提升。 攻击者必须诱使用户单击或 Instant Messenger 或电子邮件消息中的链接,以使用户通过经特殊设计的 URL 链接到受影响的网站。
对于 Skype for Business Server 2015 和 Microsoft Lync Server 2013 的所有受支持版本,此安全更新的等级为“重要”。
此安全更新通过更新 Business Server 和 Lync Server 中的 jQuery 以正确清理用户输入以及通过更正 Skype for Business Server 和 Lync Server 清理用户输入的方式来修复漏洞。
More
此安全更新可解决 Microsoft Lync Server 中三个秘密报告的漏洞。如果攻击者将特制请求发送到 Lync 服务器,则这些漏洞中最严重的漏洞可能允许拒绝服务。
对于 Microsoft Lync Server 2010 和 Microsoft Lync Server 2013 的所有受支持版本,此安全更新的等级为“重要”。该安全更新通过更正 Lync Server 清理用户输入的方式和更正 Lync Server 处理异常和空解除引用的方式来解决漏洞。
More
此安全更新解决了 Microsoft Lync Server 中一个秘密报告的漏洞。如果用户试图通过单击特制会议 URL 来加入 Lync 会议,则此漏洞可能允许信息泄露。
对于 Microsoft Lync Server 2010 和 Microsoft Lync Server 2013 的所有受支持版本,此安全更新的等级为“重要”。
该安全更新通过更正 Microsoft Lync Server 处理和清理内容的方式来解决漏洞。
More
此安全更新可解决 Microsoft Lync 中一个秘密报告的漏洞。如果攻击者在 Lync 或 Communicator 中演示时共享特制内容(例如文件或程序),然后诱使用户接受邀请以查看或共享可演示的内容,则该漏洞可能允许远程执行代码。在所有情况下,攻击者无法强迫用户查看或共享由攻击者控制的文件或程序。相反,攻击者必须说服用户执行操作,方法通常是让用户接受 Lync 或 Communicator 中的邀请以查看或共享可演示的内容。
对于 Microsoft Communicator 2007 R2、Microsoft Lync 2010、Microsoft Lync 2010 Attendee 和 Microsoft Lync Server 2013 的受支持版本,此安全更新的等级为“重要”。该安全更新通过修改 Lync 和 Communicator 客户端处理内存中对象的方式来解决漏洞。
More
此安全更新可解决 Microsoft Lync 中一个公开披露的漏洞和三个秘密报告的漏洞。如果用户查看包含特制 TrueType 字体的共享内容,则这些漏洞最严重时可能允许远程执行代码。
对于 Microsoft Lync 2010、Microsoft Lync 2010 Attendee、Microsoft Lync 2010 Attendant(32 位)和 Microsoft Lync 2010 Attendant(64 位),此安全更新的等级为“重要”。该安全更新通过更正处理特制 TrueType 字体文件的方式、更正 Microsoft Lync 加载外部库的方式以及修改 SafeHTML 函数清理 HTML 内容的方式来解决漏洞。
More