対象製品: 分離シェルと統合シェルを除くすべての Visual Studio 2015 Update 3 エディション
注意事項
2020 年 11 月、影響を受ける製品、前提条件、および再起動の必要性を明確にするために、この記事の内容が更新されました。 さらに、Microsoft System Center Configuration Manager のレポートのバグを修正するために、WSUS の更新プログラムのメタデータが改訂されました。
概要
Visual Studio が、プログラム データベース (PDB) ファイルをコンパイルする際に、初期化されていないメモリの制限されている内容を不適切に開示する場合に、情報漏えいの脆弱性が存在します。 この脆弱性を悪用する攻撃者は、プログラム データベース ファイルのコンパイルに使用されたコンピューターから初期化されていないメモリを表示する可能性があります。
この脆弱性の詳細については、CVE-2018-1037 を参照してください。
更新プログラムの入手方法およびインストール方法
方法 1: Microsoft ダウンロード
次のファイルをダウンロードできます。
今すぐ修正プログラム パッケージをダウンロードします。
方法 2: Microsoft Update カタログ
この更新プログラムのスタンドアロン パッケージを入手するには、Microsoft Update カタログ Web サイトに移動してください。
詳細情報
必要条件
このセキュリティ更新プログラムを適用するには、Visual Studio 2015 Update 3 とそれに続く累積的なサービス リリース KB 3165756 の両方がインストールされている必要があります。 通常、Visual Studio 2015 Update 3 をインストールすると、KB 3165756 が自動的にインストールされます。 ただし、場合によっては、2 つのパッケージを別々にインストールする必要があります。
再起動の必要性
このセキュリティ更新プログラムをインストールする前に、Visual Studio 2015 を閉じることをお勧めします。 そうしないと、更新中のファイルを Visual Studio で開いているか使用している場合、このセキュリティ更新プログラムを適用した後にコンピューターを再起動する必要があります。
セキュリティ更新プログラムの置き換えに関する情報
このセキュリティ更新プログラムを適用しても、その他の更新プログラムが置き換えられることはありません。
このセキュリティ更新プログラムで修正される問題
このセキュリティ更新プログラムは、CVE-2018-1037 に記載されている、PDB ファイルが Mspdbsrv.exe などの既存の PDB ファイルを更新するプロセスに初期化されていないヒープ コンテンツが含まれることがある PDB の問題を修正します。 更新された PDBCopy ツールを使用して、共有または配布する対象のすべての既存の PDB を確認することを強くお勧めします。
このセキュリティ更新プログラムで修正されない問題
/DEBUG:fastlink リンカー オプションを使用してプロジェクトやソリューションを構築し、Mspdbcmf.exe を使用してリンカーが生成した fastlink PDB ファイルを完全な PDB ファイルに変換している場合、結果として生成される完全な PDB ファイルにも、この情報漏えいの脆弱性が存在する可能性があります。 Visual Studio 2015 Mspdbcmf.exe の更新プログラムを入手するには、このサポート技術情報にアクセスしてください。
Visual Studio 2017 も使用している場合は、最新の Visual Studio 2017 プレビューまたは更新プログラムhttps://www.visualstudio.com/downloads/に含まれている Mspdbcmf.exe を使用して、Visual Studio 2015 リンカーによって生成された fastlink PDB ファイルを変換できます (最新の Visual Studio 2017 Mspdbcmf.exe で生成された PDB は脆弱ではありません)。
ファイル ハッシュ情報
File name |
SHA1 ハッシュ |
SHA256 ハッシュ |
---|---|---|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
インストールの確認
このセキュリティ更新プログラムが正しく適用されたことを確認するには、次の手順を実行します。
-
Visual Studio 2015 のプログラム フォルダーを開きます。
-
Mspdbcore.dll ファイルを見つけます。
-
ファイルのバージョンが 14.0.27534 以降であることを確認します。
保護、セキュリティ、およびサポートに関する情報
-
オンラインでの自分の保護: Windows セキュリティのサポート
-
サイバー脅威から保護する方法についての説明: Microsoft セキュリティ
-
国ごとにローカライズされたサポートを利用する: インターナショナル サポート
-
Visual Studio のサポート ポリシーに関する詳細情報を入手する: Visual Studio の製品ライフサイクルとサービス。