Kehtib järgmise jaoks: Kõik Visual Studio 2015 Update 3 väljaanded, v.a isoleeritud ja integreeritud kestad
NB!
2020. aasta novembris värskendati selle artikli sisu, et selgitada mõjutatud tooteid, eeltingimusi ja taaskäivitamise nõudeid. Lisaks parandati WSUS-i värskenduse metaandmeid, et parandada Microsoft System Centeri Configuration Manager teatamisviga.
Kokkuvõte
Teabe avaldamise nõrkus on olemas, kui Visual Studio avalikustab programmiandmebaasi (PDB) failide kompileerimisel lähtestamata mälu piiratud sisu valesti. Ründaja, kes kasutab haavatavust, võib vaadata lähtestamata mälu arvutist, mida kasutatakse programmi andmebaasifaili kompileerimiseks.
Haavatavuse kohta leiate lisateavet artiklist CVE-2018-1037.
Värskenduse hankimine ja installimine
1. meetod: Microsofti allalaadimine
Allalaadimiseks on saadaval järgmine fail:
2. meetod: Microsoft Update'i kataloog
Värskenduse autonoomse paketi hankimiseks minge Microsoft Update'i kataloogi veebisaidile.
Lisateave
Eeltingimused
Selle turbevärskenduse rakendamiseks peab teil olema installitud nii Visual Studio 2015 värskendus 3 kui ka sellele järgnev kumulatiivse teeninduse väljaande KB 3165756 installitud. Tavaliselt installitakse 3165756 Visual Studio 2015 värskenduse 3 installimisel automaatselt. Mõnel juhul peate need kaks paketti siiski eraldi installima.
Taaskäivitamise nõue
Soovitame enne selle turbevärskenduse installimist sulgeda Visual Studio 2015. Muul juhul peate võib-olla pärast selle turbevärskenduse rakendamist arvuti taaskäivitama, kui värskendatav fail on avatud või seda kasutab Visual Studio.
Turbevärskenduse asendamise teave
See turbevärskendus ei asenda muid turbevärskendusi.
Probleemid, mis on selle turbevärskenduse puhul lahendatud
Turbevärskendus lahendab PDB probleemi, mida kirjeldatakse versioonis CVE-2018-1037, kus PDB-fail võib sisaldada lähtestamata kuhja sisu protsessis, mis värskendab olemasolevat PDB-faili (nt Mspdbsrv.exe). Soovitame tungivalt kasutada värskendatud PDBCopy tööriista , et kontrollida kõiki olemasolevaid PDB-sid, mida kavatsete jagada või levitada.
Probleemid, mida see turbevärskendus ei lahenda
Kui kasutate projektide või lahenduste koostamiseks linkimissuvandit /DEBUG:fastlink ja kasutate Mspdbcmf.exe, et teisendada linkija loodud fastlink-PDB-failid täielikeks PDB-failideks, võib sellest tuleneval täielikul PDB-failil olla ka see teabe avaldamise nõrkus. Visual Studio 2015 Mspdbcmf.exe värskenduse saamiseks lugege seda teabebaasi artiklit.
Kui kasutate ka versiooni Visual Studio 2017, saate uusimas Visual Studio 2017 eelvaateversioonis sisalduvat Mspdbcmf.exe faili või värskendust kasutada Visual Studio 2015 linkeri genereeritud fastlink-PDB-failide teisendamiseks. (PDB-d, mis on loodud uusima Visual Studio 2017 Mspdbcmf.exe failiga, pole haavatavad.)
Faili räsiteave
|
Faili nimi |
SHA1 räsi |
SHA256 räsi |
|---|---|---|
|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Installi kontrollimine
Selle turbevärskenduse õige rakendamise kontrollimiseks tehke järgmist.
-
Avage Visual Studio 2015 programmikaust.
-
Otsige üles Mspdbcore.dll fail.
-
Veenduge, et failiversioon oleks 14.0.27534 või sellest suurem.
Teave kaitse, turvalisuse ja toe kohta
-
Kaitske end veebis: Windowsi turve tugi
-
Lugege, kuidas kaitseme küberohtude eest: Microsoft Security
-
Hankige lokaliseeritud tuge oma riigi kohta: rahvusvaheline tugi
-
Lisateave Visual Studio toe poliitika kohta: Visual Studio toote elutsükkel ja teenindus.
