Si applica a: Tutte le edizioni update 3 di Visual Studio 2015 tranne shell isolate e integrate
Avviso
Nel novembre 2020 il contenuto di questo articolo è stato aggiornato per chiarire i prodotti interessati, i prerequisiti e i requisiti di riavvio. Inoltre, i metadati degli aggiornamenti in WSUS sono stati modificati per correggere un bug di segnalazione di System Center Configuration Manager Microsoft.
Riepilogo
Esiste una vulnerabilità di divulgazione di informazioni se Visual Studio divulga erroneamente contenuti limitati di memoria non inizializzata durante la compilazione di file di database di programma (PDB). Un utente malintenzionato che sfrutta la vulnerabilità potrebbe visualizzare memoria non inizializzata dal computer utilizzato per compilare un file di database di programma.
Per ulteriori informazioni sulla vulnerabilità, vedere CVE-2018-1037.
Come ottenere e installare l'aggiornamento
Metodo 1: Download Microsoft
Il file seguente è disponibile per il download:
Metodo 2: Microsoft Update Catalog
Per scaricare il pacchetto autonomo per questo aggiornamento, vai al sito Web Microsoft Update Catalog .
Ulteriori informazioni
Requisiti
Per applicare questo aggiornamento della sicurezza, devi avere installato sia Visual Studio 2015 Update 3 che il successivo aggiornamento cumulativo della versione di manutenzione KB 3165756. In genere, 3165756 KB viene installato automaticamente quando si installa Visual Studio 2015 Update 3. Tuttavia, in alcuni casi, è necessario installare i due pacchetti separatamente.
Richiesta di riavvio
È consigliabile chiudere Visual Studio 2015 prima di installare questo aggiornamento della sicurezza. In caso contrario, potrebbe essere necessario riavviare il computer dopo aver applicato questo aggiornamento della sicurezza se un file aggiornato è aperto o in uso da Visual Studio.
Informazioni sulla sostituzione dell'aggiornamento della sicurezza
Questo aggiornamento della sicurezza non sostituisce gli altri aggiornamenti della sicurezza.
Problemi risolti in questo aggiornamento della sicurezza
Questo aggiornamento della sicurezza risolve il problema PDB descritto in CVE-2018-1037, in cui un file PDB può contenere contenuto heap non inizializzato in un processo che aggiorna un file PDB esistente, ad esempio Mspdbsrv.exe. Si consiglia vivamente di utilizzare lo strumento aggiornato PDBCopy per controllare ogni BDB esistente che si intende condividere o distribuire.
Problemi non risolti da questo aggiornamento della sicurezza
Se si utilizza l'opzione /DEBUG:fastlink linker per creare i progetti o le soluzioni e si utilizza Mspdbcmf.exe per convertire i file PDB generati dal linker in file PDB completi, anche i file PDB completi risultanti potrebbero presentare questa vulnerabilità di divulgazione di informazioni. Per ottenere un aggiornamento per Visual Studio 2015 Mspdbcmf.exe, vai a questo articolo della Knowledge Base.
Se si usa anche Visual Studio 2017, è possibile usare il file Mspdbcmf.exe incluso nell'anteprima dell'ultimo Visual Studio 2017 o nell'aggiornamento per convertire i file PDB fastlink generati dal linker di Visual Studio 2015. I PBS generati dall'ultimo file Mspdbcmf.exe Visual Studio 2017 non sono vulnerabili.
Informazioni sull'hash dei file
|
Nome file |
Hash SHA1 |
Hash SHA256 |
|---|---|---|
|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Verifica dell'installazione
Per verificare che questo aggiornamento della sicurezza sia applicato correttamente, segui questi passaggi:
-
Aprire la cartella del programma di Visual Studio 2015.
-
Individuare il file Mspdbcore.dll.
-
Verificare che la versione del file sia maggiore o uguale a 14.0.27534.
Informazioni su protezione, sicurezza e supporto
-
Proteggiti online: supporto Sicurezza di Windows
-
Scopri come proteggerci dalle minacce informatiche: Sicurezza di Microsoft
-
Ottenere supporto localizzato per il proprio paese: supporto internazionale
-
Altre informazioni sui criteri di supporto Visual Studio: Visual Studio ciclo di vita del prodotto e manutenzione.
