Hinweise zum Sicherheitsupdate für die Sicherheitsanfälligkeit in Visual Studio 2015 Update 3 bezüglich der Veröffentlichung von Informationen: 10. April 2018

Gilt für: Visual Studio 2015 Update 3

Zusammenfassung


Es liegt eine Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen vor, wenn Visual Studio beim Kompilieren von Programmdatenbankdateien (PDB) bestimmte Inhalte des nicht initialisierten Arbeitsspeichers fälschlicherweise offenlegt. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann auf dem Computer, der zum Kompilieren der Programmdatenbankdatei verwendet wird, nicht initialisierten Arbeitsspeicher anzeigen.

Weitere Informationen zu dieser Sicherheitsanfälligkeit finden Sie unter CVE-2018-1037.

Bezug und Installation des Updates


Methode 1: Microsoft Download

Die folgende Datei steht zum Download zur Verfügung:

Herunterladen Laden Sie das Hotfixpaket jetzt herunter.

Methode 2: Microsoft Update-Katalog

Das eigenständige Paket für dieses Update finden Sie auf der Microsoft Update-Katalog-Website.

Weitere Informationen


Voraussetzungen

Visual Studio 2015 Update 3 muss installiert sein, um dieses Sicherheitsupdate anwenden zu können.

Neustartanforderung

Nach der Installation dieses Sicherheitsupdates müssen Sie den Computer möglicherweise neu starten, wenn eine Instanz von Visual Studio verwendet wird.

Ersetzte Sicherheitsupdates

Dieses Sicherheitsupdate ersetzt keine anderen Sicherheitsupdates.

Durch dieses Sicherheitsupdate behobene Probleme

Dieses Sicherheitsupdate behebt das in CVE-2018-1037 beschriebene PDB-Problem, dass eine PDB-Datei möglicherweise nicht initialisierte Heapinhalte in einem Prozess enthält, durch den eine vorhandene PDB-Datei wie beispielsweise „mspdbsrv.exe“ aktualisiert wird. Es wird dringend empfohlen, mit dem aktualisierten PDBCopy-Tool alle vorhandenen PDB-Dateien zu prüfen, die Sie teilen oder weitergeben möchten.

Durch dieses Sicherheitsupdate nicht behobene Probleme

Wenn Sie mithilfe von /DEBUG:fastlink-Linker Projekte oder Lösungen erstellen und mithilfe von „mspdbcmf.exe“ vom Linker generierte Fastlink-PDB-Dateien in vollständige PDB-Dateien konvertieren, tritt bei den generierten vollständigen PDB-Dateien möglicherweise auch die Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen auf. Ein Update für „mspdbcmf.exe“ in Visual Studio 2015 finden Sie in diesem Knowledge Base-Artikel.

Wenn Sie auch Visual Studio 2017 verwenden, können Sie die „mspdbcmf.exe“-Instanz der neuesten Visual Studio 2017 Preview-Version oder des neuesten Visual Studio 2017-Updates verwenden, um vom Visual Studio 2015-Linker generierte Fastlink-PDB-Dateien zu konvertieren. (Für die von der neuesten „mspdbcmf.exe“-Instanz von Visual Studio 2017 generierten PDB-Dateien besteht kein Risiko.)

Dateiinformationen