Koskee seuraavia: Kaikki Visual Studio 2015 Update 3 -versiot paitsi eristetyt ja integroidut liittymät 

Huomautus

Marraskuussa 2020 tämän artikkelin sisältö päivitettiin selventämään kyseisiä tuotteita, edellytyksiä ja uudelleenkäynnistysvaatimuksia. Lisäksi WSUS:n päivityksen metatietoja on muokattu korjaamaan Microsoftin System Center Configuration Manager raportointivirhe.

Yhteenveto

Tietojen paljastumisen haavoittuvuus on olemassa, jos Visual Studio paljastaa virheellisesti rajoitetun sisällön alustamattomasta muistista koottaessa ohjelmatietokannan (PDB) tiedostoja. Haavoittuvuutta hyödyntävä hyökkääjä voi tarkastella alustamatonta muistia tietokoneesta, jota käytetään ohjelmatietokantatiedoston kokoamiseen.Lisätietoja haavoittuvuudesta on artikkelissa CVE-2018-1037.

Päivityksen hankkiminen ja asentaminen

Menetelmä 1: Microsoft Download

Seuraava tiedosto on ladattavissa:Lataa Lataa hotfix-paketti nyt.

Menetelmä 2: Microsoft Update -luettelo

Voit hankkia tämän päivityksen erillispaketin Microsoft Update -luettelon sivustosta.

Lisätietoja

Edellytykset

Jotta voit ottaa tämän suojauspäivityksen käyttöön, sinulla on oltava sekä Visual Studio 2015 -päivitys 3 että sitä seuraava kumulatiivisen ylläpidon julkaisu KB 3165756 asennettuna. Yleensä KB-3165756 asennetaan automaattisesti, kun asennat Visual Studio 2015 Update 3:n. Joissakin tapauksissa nämä kaksi pakettia on kuitenkin asennettava erikseen.

Uudelleenkäynnistysvaatimus

Suosittelemme, että suljet Visual Studio 2015:n ennen tämän suojauspäivityksen asentamista. Muussa tapauksessa tietokone on ehkä käynnistettävä uudelleen tämän suojauspäivityksen asentamisen jälkeen, jos päivitettävä tiedosto on avoinna tai Visual Studio käytössä.

Suojauspäivityksen korvaamista koskevat tiedot

Tämä suojauspäivitys ei korvaa muita suojauspäivityksiä.

Tässä suojauspäivityksessä korjatut ongelmat

Tämä suojauspäivitys korjaa CVE-2018-1037 -versiossa kuvatun PDB-ongelman, jossa PDB-tiedosto voi sisältää alustamatonta kasasisältöä prosessissa, joka päivittää olemassa olevan PDB-tiedoston, kuten Mspdbsrv.exe. Suosittelemme vahvasti, että käytät päivitettyä PDBCopy-työkalua tarkistamaan kaikki olemassa olevat PDB:t, jotka aiot jakaa tai jakaa.

Ongelmat, joita tämä suojauspäivitys ei ole korjannut

Jos käytät /DEBUG:fastlink-linkitintä projektien tai ratkaisujen luomiseen ja käytät Mspdbcmf.exe muuntaaksesi linkin luomat fastlink-PDB-tiedostot täydellisiksi PDB-tiedostoiksi, tuloksena syntyvässä täydellisessä PDB-tiedostossa voi olla myös tämä tietojen paljastamisen haavoittuvuus. Saat päivityksen Visual Studio 2015 Mspdbcmf.exe tästä Knowledge Base -artikkelista.

Jos käytät myös Visual Studio 2017:ää, voit muuntaa Visual Studio 2015 -linkin luomia Visual Studio 2017 -esikatseluun tai -päivitykseen sisältyvää Mspdbcmf.exe-tiedostoa. (Uusimman Visual Studio 2017 Mspdbcmf.exe tiedoston luomat PDB-tiedostot eivät ole haavoittuvia.)

Tiedoston hajautusarvotiedot

Tiedostonimi

SHA1-hajautusarvo

SHA256-hajautusarvo

vs14-kb4087371.exe

DF129BA5448973FBD81471107E16C7D2E0199BB7

C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E

Asennuksen tarkistaminen

Jos haluat varmistaa, että tämä suojauspäivitys on otettu käyttöön oikein, toimi seuraavasti:

  1. Avaa Visual Studio 2015 -ohjelmakansio.

  2. Etsi Mspdbcore.dll tiedosto.

  3. Varmista, että tiedostoversio on yhtä suuri tai suurempi kuin 14.0.27534.

Suojausta, suojausta ja tukea koskevat tiedot

Facebook LinkedIn Sähköposti

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu Yhteisö

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Microsoft 365 -tilaukseen kuuluvat edut

Microsoft 365 -koulutus

Microsoftin suojaus

Helppokäyttökeskus

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.

Kysy Microsoftin yhteisöltä

Microsoft Tech Community -verkosto

Windows Insider -käyttäjät

Microsoft 365 Insider -jäsenet