Applies to: Alle Editionen von Visual Studio 2015 Update 3 ausgenommen isolierte und integrierte Shells
Hinweis
Im November 2020 wurde der Inhalt dieses Artikels aktualisiert, um die betroffenen Produkte, die Voraussetzungen und die Neustartanforderungen klarzustellen. Außerdem wurden die Update-Metadaten in WSUS so überarbeitet, dass ein Berichterstellungsfehler in Microsoft System Center Configuration Manager behoben wird.
Zusammenfassung
Es liegt eine Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen vor, wenn Visual Studio beim Kompilieren von Programmdatenbankdateien (PDB) bestimmte Inhalte des nicht initialisierten Arbeitsspeichers falsch offenlegt. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann auf dem Computer, der zum Kompilieren der Programmdatenbankdatei verwendet wird, nicht initialisierten Arbeitsspeicher anzeigen.
Weitere Informationen zu diesem Sicherheitsrisiko finden Sie unter CVE-2018-1037.
Bezug und Installation des Updates
Methode 1: Microsoft Download
Die folgende Datei steht zum Download bereit:
Laden Sie das Hotfix-Paket jetzt herunter.
Methode 2: Microsoft Update-Katalog
Das eigenständige Paket für dieses Update finden Sie auf der Microsoft Update-Katalog-Website.
Weitere Informationen
Voraussetzungen
Zur Anwendung dieses Sicherheitsupdates muss sowohl Visual Studio 2015 Update 3 als auch das nachfolgende Kumulative Service Release KB 3165756 installiert sein. KB 3165756 wird in der Regel automatisch installiert, wenn Sie Visual Studio 2015 Update 3 installieren. In einigen Fällen kann es jedoch vorkommen, dass Sie die beiden Pakete separat installieren müssen.
Neustartanforderung
Wir empfehlen, dass Sie Visual Studio 2015 schließen, bevor Sie dieses Sicherheitsupdate installieren. Andernfalls müssen Sie den Computer nach der Anwendung dieses Sicherheitsupdates möglicherweise neu starten, wenn eine Datei, die aktualisiert wird, geöffnet ist oder von Visual Studio verwendet wird.
Ersetzte Sicherheitsupdates
Dieses Sicherheitsupdate ersetzt keine anderen Sicherheitsupdates.
Durch dieses Sicherheitsupdate behobene Probleme
Dieses Sicherheitsupdate behebt das in CVE-2018-1037 beschriebene PDB-Problem, dass eine PDB-Datei möglicherweise nicht initialisierte Heapinhalte in einem Prozess enthält, durch den eine vorhandene PDB-Datei wie beispielsweise „Mspdbsrv.exe“ aktualisiert wird. Wir empfehlen Ihnen dringend, das aktualisierte Tool PDBCopy zu verwenden, um jede vorhandene PDB zu überprüfen, die Sie weitergeben oder verteilen möchten.
Durch dieses Sicherheitsupdate nicht behobene Probleme
Wenn Sie die Linker-Option /DEBUG:fastlink verwenden, um Ihre Projekte oder Lösungen zu erstellen, und Sie Mspdbcmf.exe verwenden, um die vom Linker erzeugten Fastlink-PDB-Dateien in vollständige PDB-Dateien zu konvertieren, könnten die daraus resultierenden vollständigen PDB-Dateien ebenfalls diese Schwachstelle in Bezug auf die Preisgabe von Informationen aufweisen. Um ein Update für Visual Studio 2015 Mspdbcmf.exe zu erhalten, gehen Sie zu diesem Knowledge Base-Artikel.
Wenn Sie auch Visual Studio 2017 verwenden, können Sie die Datei Mspdbcmf.exe verwenden, die in der neuesten Visual Studio 2017 Vorschau oder Update enthalten ist, um Fastlink-PDB-Dateien zu konvertieren, die vom Linker von Visual Studio 2015 erzeugt werden. (Für die von der neuesten Mspdbcmf.exe-Datei von Visual Studio 2017 generierten PDB-Dateien besteht kein Risiko.)
Dateihashinformationen
File name |
SHA1-Hash |
SHA256-Hash |
---|---|---|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Überprüfung der Installation
Gehen Sie folgendermaßen vor, um zu überprüfen, ob dieses Sicherheitsupdate ordnungsgemäß installiert wurde:
-
Öffnen Sie den Programmordner „Visual Studio 2015“.
-
Suchen Sie die Datei „Mspdbcore.dll“.
-
Stellen Sie sicher, dass die Dateiversion gleich oder größer 14.0.27534 ist.
Informationen über Schutz, Sicherheit und Unterstützung
-
Schützen Sie sich online: Windows Security Support
-
Erfahren Sie, wie wir vor Cyberbedrohungen schützen: Microsoft-Sicherheit
-
Erhalten Sie Unterstützung speziell für Ihr Land: Internationaler Support
-
Hier finden Sie weitere Informationen zur Visual Studio Supportrichtlinie: Visual Studio Product Lifecycle and Servicing.