Visual Studio 2015 Update 3 の情報漏えいの脆弱性を解決するためのセキュリティ更新プログラムについて2018 年 4 月 11 日

適用対象: Visual Studio 2015 Update 3

概要


Visual Studio が、プログラム データベース (PDB) ファイルをコンパイルする際に、初期化されていないメモリの制限されている内容を不適切に開示する場合に、情報漏えいの脆弱性が存在します。 この脆弱性を悪用した攻撃者は、プログラム データベース ファイルのコンパイルに使用されたコンピューターから初期化されていないメモリを表示する可能性があります。 

この脆弱性の詳細については、CVE-2018-1037 を参照してください。 

更新プログラムの入手方法およびインストール方法


方法 1: Microsoft ダウンロード

次のファイルをダウンロードできます。

ダウンロード 今すぐ修正プログラム パッケージをダウンロードします。

方法 2: Microsoft Update カタログ

この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトに移動してください。

詳細情報


必要条件

このセキュリティ更新プログラムを適用するには、Visual Studio 2015 Update 3 がインストールされている必要があります。 

再起動の必要性

Visual Studio のインスタンスが使用中の場合、このセキュリティ更新プログラムの適用後にコンピューターの再起動が必要になることがあります。

セキュリティ更新プログラムの置き換えに関する情報 

このセキュリティ更新プログラムを適用しても、他のセキュリティ更新プログラムが置き換えられることはありません。

このセキュリティ更新プログラムで修正される問題 

このセキュリティ更新プログラムは、mspdbsrv.exe などの既存の PDB ファイルが更新されるプロセスで、PDB ファイルに初期化されていないヒープ コンテンツが含まれる可能性があるという、CVE-2018-1037 で説明されている PDB の問題を修正します。更新された PDBCopy ツールを使用して、共有または配布する対象の既存の PDB をすべて確認することを強くお勧めします。     

このセキュリティ更新プログラムで修正されない問題

/DEBUG: fastlink linker オプションを使用してプロジェクトやソリューションを構築し、mspdbcmf.exe を使用してリンカーが生成した fastlink PDB ファイルを完全な PDB ファイルに変換している場合、結果として生成される完全な PDB ファイルにも、この情報漏えいの脆弱性が存在する可能性があります。Visual Studio 2015 mspdbcmf.exe の更新プログラムを入手するには、このサポート技術情報を参照してください。   

Visual Studio 2017 も使用している場合は、最新の Visual Studio 2017 プレビューまたは更新プログラムに含まれている mspdbcmf.exe を使用して、Visual Studio 2015 リンカーによって生成された fastlink PDB ファイルを変換できます (最新の Visual Studio 2017 mspdbcmf.exe で生成された PDB は脆弱ではありません)。

ファイル情報