Koskee seuraavia: Kaikki Visual Studio 2015 Update 3 -versiot paitsi eristetyt ja integroidut liittymät
Huomautus
Marraskuussa 2020 tämän artikkelin sisältö päivitettiin selventämään kyseisiä tuotteita, edellytyksiä ja uudelleenkäynnistysvaatimuksia. Lisäksi WSUS:n päivityksen metatietoja on muokattu korjaamaan Microsoftin System Center Configuration Manager raportointivirhe.
Yhteenveto
Tietojen paljastumisen haavoittuvuus on olemassa, jos Visual Studio paljastaa virheellisesti rajoitetun sisällön alustamattomasta muistista koottaessa ohjelmatietokannan (PDB) tiedostoja. Haavoittuvuutta hyödyntävä hyökkääjä voi tarkastella alustamatonta muistia tietokoneesta, jota käytetään ohjelmatietokantatiedoston kokoamiseen.
Lisätietoja haavoittuvuudesta on artikkelissa CVE-2018-1037.
Päivityksen hankkiminen ja asentaminen
Menetelmä 1: Microsoft Download
Seuraava tiedosto on ladattavissa:
Menetelmä 2: Microsoft Update -luettelo
Voit hankkia tämän päivityksen erillispaketin Microsoft Update -luettelon sivustosta.
Lisätietoja
Edellytykset
Jotta voit ottaa tämän suojauspäivityksen käyttöön, sinulla on oltava sekä Visual Studio 2015 -päivitys 3 että sitä seuraava kumulatiivisen ylläpidon julkaisu KB 3165756 asennettuna. Yleensä KB-3165756 asennetaan automaattisesti, kun asennat Visual Studio 2015 Update 3:n. Joissakin tapauksissa nämä kaksi pakettia on kuitenkin asennettava erikseen.
Uudelleenkäynnistysvaatimus
Suosittelemme, että suljet Visual Studio 2015:n ennen tämän suojauspäivityksen asentamista. Muussa tapauksessa tietokone on ehkä käynnistettävä uudelleen tämän suojauspäivityksen asentamisen jälkeen, jos päivitettävä tiedosto on avoinna tai Visual Studio käytössä.
Suojauspäivityksen korvaamista koskevat tiedot
Tämä suojauspäivitys ei korvaa muita suojauspäivityksiä.
Tässä suojauspäivityksessä korjatut ongelmat
Tämä suojauspäivitys korjaa CVE-2018-1037 -versiossa kuvatun PDB-ongelman, jossa PDB-tiedosto voi sisältää alustamatonta kasasisältöä prosessissa, joka päivittää olemassa olevan PDB-tiedoston, kuten Mspdbsrv.exe. Suosittelemme vahvasti, että käytät päivitettyä PDBCopy-työkalua tarkistamaan kaikki olemassa olevat PDB:t, jotka aiot jakaa tai jakaa.
Ongelmat, joita tämä suojauspäivitys ei ole korjannut
Jos käytät /DEBUG:fastlink-linkitintä projektien tai ratkaisujen luomiseen ja käytät Mspdbcmf.exe muuntaaksesi linkin luomat fastlink-PDB-tiedostot täydellisiksi PDB-tiedostoiksi, tuloksena syntyvässä täydellisessä PDB-tiedostossa voi olla myös tämä tietojen paljastamisen haavoittuvuus. Saat päivityksen Visual Studio 2015 Mspdbcmf.exe tästä Knowledge Base -artikkelista.
Jos käytät myös Visual Studio 2017:ää, voit muuntaa Visual Studio 2015 -linkin luomia Visual Studio 2017 -esikatseluun tai -päivitykseen sisältyvää Mspdbcmf.exe-tiedostoa. (Uusimman Visual Studio 2017 Mspdbcmf.exe tiedoston luomat PDB-tiedostot eivät ole haavoittuvia.)
Tiedoston hajautusarvotiedot
|
Tiedostonimi |
SHA1-hajautusarvo |
SHA256-hajautusarvo |
|---|---|---|
|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Asennuksen tarkistaminen
Jos haluat varmistaa, että tämä suojauspäivitys on otettu käyttöön oikein, toimi seuraavasti:
-
Avaa Visual Studio 2015 -ohjelmakansio.
-
Etsi Mspdbcore.dll tiedosto.
-
Varmista, että tiedostoversio on yhtä suuri tai suurempi kuin 14.0.27534.
Suojausta, suojausta ja tukea koskevat tiedot
-
Suojaa itsesi verkossa: Windowsin suojaus tuki
-
Opi suojautumaan kyberuhilta: Microsoft Security
-
Hanki lokalisoitua tukea maasi mukaan: Kansainvälinen tuki
-
Lisätietoja Visual Studio tukikäytännöstä: Visual Studio tuotteen elinkaari ja ylläpito.
