Gælder for: Alle udgaver af Visual Studio 2015 Update 3 undtagen isolerede og integrerede shells
Bemærk!
I november 2020 blev indholdet af denne artikel opdateret for at tydeliggøre de berørte produkter, forudsætninger og krav til genstart. Desuden blev opdateringsmetadata i WSUS revideret for at rette en Microsoft System Center Configuration Manager rapporteringsfejl.
Oversigt
Der findes en sikkerhedsrisiko i forbindelse med afsløring af oplysninger, hvis Visual Studio fejlagtigt videregiver begrænset indhold af ikke-initialiseret hukommelse under kompilering af programdatabasefiler (PDB). En hacker, der udnytter sårbarheden, kan få vist ikke-initialiseret hukommelse fra den computer, der bruges til at kompilere en programdatabasefil.
Du kan finde flere oplysninger om sårbarheden under CVE-2018-1037.
Sådan henter og installerer du opdateringen
Metode 1: Microsoft Download
Følgende fil kan downloades:
Hent hotfixpakken nu.
Metode 2: Microsoft Update-katalog
Du kan få den separate pakke til denne opdatering ved at gå til webstedet Microsoft Update-katalog .
Flere oplysninger
Forudsætninger
Hvis du vil anvende denne sikkerhedsopdatering, skal du have både Visual Studio 2015 Update 3 og den efterfølgende cumulative Servicing Release KB-3165756 installeret. Typisk installeres KB 3165756 automatisk, når du installerer Visual Studio 2015 Update 3. I nogle tilfælde skal du dog installere de to pakker separat.
Krav om genstart
Vi anbefaler, at du lukker Visual Studio 2015, før du installerer denne sikkerhedsopdatering. Ellers skal du muligvis genstarte computeren, når du har anvendt denne sikkerhedsopdatering, hvis en fil, der opdateres, er åben eller i brug af Visual Studio.
Oplysninger om udskiftning af sikkerhedsopdateringer
Denne sikkerhedsopdatering erstatter ikke andre sikkerhedsopdateringer.
Problemer, der er løst i denne sikkerhedsopdatering
Denne sikkerhedsopdatering løser det PDB-problem, der er beskrevet i CVE-2018-1037, hvor en PDB-fil kan indeholde ikke-initialiseret heap-indhold i en proces, der opdaterer en eksisterende PDB-fil, f.eks. Mspdbsrv.exe. Vi anbefaler på det kraftigste, at du bruger det opdaterede PDBCopy-værktøj til at kontrollere alle eksisterende PDB, som du vil dele eller distribuere.
Problemer, der ikke er løst med denne sikkerhedsopdatering
Hvis du bruger indstillingen /DEBUG:fastlink linker til at opbygge dine projekter eller løsninger, og du bruger Mspdbcmf.exe til at konvertere linkergenererede fastlink-PDB-filer til fulde PDB-filer, kan de resulterende fulde PDB-filer også have denne sårbarhed med afsløring af oplysninger. Du kan få en opdatering til Visual Studio 2015 Mspdbcmf.exe ved at gå til denne vidensbaseartikel.
Hvis du også bruger Visual Studio 2017, kan du bruge den Mspdbcmf.exe fil, der er inkluderet i den seneste Visual Studio 2017 Preview eller opdatering, til at konvertere fastlink-PDB-filer, der genereres af Visual Studio 2015-linkeren. (PDF'er, der genereres af den seneste Visual Studio 2017 Mspdbcmf.exe-fil, er ikke sårbare).
Oplysninger om filhash
Filnavn |
SHA1-hash |
SHA256-hash |
---|---|---|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Bekræftelse af installation
Du kan kontrollere, at denne sikkerhedsopdatering anvendes korrekt, ved at følge disse trin:
-
Åbn programmappen Visual Studio 2015.
-
Find den Mspdbcore.dll fil.
-
Kontrollér, at filversionen er lig med eller større end 14.0.27534.
Oplysninger om beskyttelse, sikkerhed og support
-
Beskyt dig selv online: Windows Sikkerhed support
-
Få mere at vide om, hvordan vi beskytter mod cybertrusler: Microsoft Security
-
Få lokal support pr. land: International support
-
Få flere oplysninger om supportpolitikken for Visual Studio: Visual Studio produktlivscyklus og servicering.