Descripción de la actualización de seguridad para la vulnerabilidad de divulgación de información en Visual Studio 2015 Update 3: 10 de abril de 2018

Se aplica a: Visual Studio 2015 Update 3

Resumen


Existe una vulnerabilidad de divulgación de información cuando Visual Studio revela incorrectamente contenidos limitados de la memoria no inicializada al compilar los archivos (PDB) de la base de datos del programa. Si un atacante aprovecha esta vulnerabilidad, puede ver la memoria sin inicializar del equipo que se usa para compilar un archivo de base de datos de programas.

Para obtener más información acerca de la vulnerabilidad, consulte CVE-2018-1037.

Cómo obtener e instalar la actualización


Método 1: Centro de descarga

Se puede descargar el siguiente archivo:

Descargar Descargue el paquete de revisión ahora.

Método 2: Catálogo de Microsoft Update

Para obtener el paquete independiente de esta actualización, vaya al sitio web del Catálogo de Microsoft Update.

Más información


Requisitos previos

Para aplicar esta actualización de seguridad, debe tener instalado Visual Studio 2015 Update 3.

Requisito de reinicio

Es posible que tenga que reiniciar el equipo una vez aplicada esta actualización de seguridad si se usa una instancia de Visual Studio.

Información de reemplazo de la actualización de seguridad

Esta actualización de seguridad no sustituye a ninguna otra.

Problemas solucionados en esta actualización de seguridad

Esta actualización de seguridad resuelve el problema de PDB descrito en CVE-2018-1037, en el que un archivo PDB puede incluir contenido de montón sin inicializar en un proceso que actualiza un archivo PDB existente, como mspdbsrv.exe. Le recomendamos encarecidamente que use la herramienta PDBCopy actualizada para comprobar los PDB existentes que tenga previsto compartir o distribuir.

Problemas no solucionados en esta actualización de seguridad

Si usa la opción enlazador /DEBUG:fastlink para generar proyectos o soluciones y usa mspdbcmf.exe para convertir archivos PDB de fastlink generados por el enlazador en archivos PDB completos, es posible que los archivos PDB completos que se generen también tengan esta vulnerabilidad de divulgación de información. Para obtener una actualización de Visual Studio 2015 mspdbcmf.exe, vaya a este artículo de Knowledge Base.

Si también usa Visual Studio 2017, puede usar mspdbcmf.exe que se incluye en la última versión preliminar o actualización de Visual Studio 2017 para convertir archivos PDB de fastlink generados por el enlazador de Visual Studio 2015. (Los PDB generados por la última versión de mspdbcmf.exe de Visual Studio 2017 no son vulnerables).

Información del archivo