Érintett rendszerek
Lync Server 2013Microsoft
Skype for Business Server 2015
Érintett verziók
Lásd gyártói hivatkozás.
Összefoglaló
A hibajavító keddeken viszonylag ritka, hogy a Microsoft a kommunikációs alkalmazásaihoz frissítéseket ad ki. Most mégis ez történt, hiszen patch-ek váltak letölthetővé a Lync Server 2013 és a Skype for Business Server 2015 alkalmazásokhoz is.
Leírás
A vállalat közleménye szerint összesen három biztonsági résről van szó. Ezek mindegyike XSS-alapú támadásokhoz járulhat hozzá, és ilyen módon tetszőleges HTML, illetve script kódokkal történő visszaélésekre adhatnak lehetőséget. Mindez pedig végül adatszivárgáshoz vezethet.
Megoldás
A Microsoft MS15-104-es biztonsági közleményéhez tartozó hibajavítások telepítése.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Privilege escalation (jogosultság kiterjesztés)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: technet.microsoft.com
Egyéb referencia: isbk.hu
CVE-2015-2531 - NVD CVE-2015-2531
CVE-2015-2532 - NVD CVE-2015-2532
CVE-2015-2536 - NVD CVE-2015-2536