Gjelder for: Alle Visual Studio 2015 Update 3-utgaver unntatt isolerte og integrerte skjell
Merknad
I november 2020 ble innholdet i denne artikkelen oppdatert for å klargjøre berørte produkter, forutsetninger og krav til omstart. I tillegg ble oppdateringsmetadataene i WSUS revidert for å løse en feil ved rapportering av Microsoft System Center Configuration Manager.
Sammendrag
Det finnes et sikkerhetsproblem for fremlegging av informasjon hvis Visual Studio feilaktig oppgir begrenset innhold i uinitialisert minne under kompilering av PDB-filer (ProgramDatabase). En angriper som utnytter sikkerhetsproblemet, kan vise uinitialisert minne fra datamaskinen som brukes til å kompilere en programdatabasefil.
Hvis du vil vite mer om sikkerhetsproblemet, kan du se CVE-2018-1037.
Slik får du tak i og installerer oppdateringen
Metode 1: Microsoft Download
Følgende fil er tilgjengelig for nedlasting:
Metode 2: Microsoft Update-katalog
Hvis du vil ha den frittstående pakken for denne oppdateringen, kan du gå til nettstedet for Microsoft Update-katalogen .
Mer informasjon
Forutsetninger
Hvis du vil bruke denne sikkerhetsoppdateringen, må du ha både Visual Studio 2015 Update 3 og den påfølgende kb-3165756 for kumulativ serviceutgivelse installert. Kb-3165756 installeres vanligvis automatisk når du installerer Visual Studio 2015 Update 3. I noen tilfeller må du imidlertid installere de to pakkene separat.
Krav om omstart
Vi anbefaler at du lukker Visual Studio 2015 før du installerer denne sikkerhetsoppdateringen. Ellers må du kanskje starte datamaskinen på nytt etter at du har brukt denne sikkerhetsoppdateringen hvis en fil som oppdateres, er åpen eller i bruk av Visual Studio.
Informasjon om erstatning av sikkerhetsoppdatering
Denne sikkerhetsoppdateringen erstatter ikke andre sikkerhetsoppdateringer.
Problemer som er løst i denne sikkerhetsoppdateringen
Denne sikkerhetsoppdateringen løser PDB-problemet som er beskrevet i CVE-2018-1037, der en PDB-fil kan inneholde uinitialisert heap-innhold i en prosess som oppdaterer en eksisterende PDB-fil, for eksempel Mspdbsrv.exe. Vi anbefaler på det sterkeste at du bruker det oppdaterte PDBCopy-verktøyet til å kontrollere alle eksisterende PDB-er som du har tenkt å dele eller distribuere.
Problemer som ikke er løst av denne sikkerhetsoppdateringen
Hvis du bruker alternativet /DEBUG:fastlink linker til å bygge prosjekter eller løsninger, og du bruker Mspdbcmf.exe til å konvertere linkergenererte FASTLINK PDB-filer til fullstendige PDB-filer, kan de resulterende fullstendige PDB-filene også ha dette sikkerhetsproblemet for fremlegging av informasjon. Hvis du vil ha en oppdatering for Visual Studio 2015 Mspdbcmf.exe, kan du gå til denne Knowledge Base-artikkelen.
Hvis du også bruker Visual Studio 2017, kan du bruke Mspdbcmf.exe-filen som er inkludert i den nyeste Visual Studio 2017-forhåndsvisning eller -oppdatering for å konvertere FASTLINK PDB-filer som genereres av Visual Studio 2015-koblingsprogrammet. (PDF-filer som genereres av den nyeste Visual Studio 2017 Mspdbcmf.exe-filen, er ikke sårbare.)
Informasjon om fil-hash
|
Filnavn |
SHA1-hash |
SHA256-hash |
|---|---|---|
|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Installasjonskontroll
Følg disse trinnene for å bekrefte at denne sikkerhetsoppdateringen brukes riktig:
-
Åpne Visual Studio 2015-programmappen.
-
Finn Mspdbcore.dll-filen.
-
Kontroller at filversjonen er lik eller større enn 14.0.27534.
Informasjon om beskyttelse, sikkerhet og støtte
-
Beskytt deg selv på nettet: Windows Sikkerhet støtte
-
Finn ut hvordan vi beskytter mot cybertrusler: Microsoft Security
-
Få lokalisert støtte per ditt land: Internasjonal støtte
-
Få mer informasjon om støttepolicyen for Visual Studio: Visual Studio produktlivssyklus og service.
