Van toepassing op: Alle Visual Studio update 3-edities van 2015, met uitzondering van geïsoleerde en geïntegreerde shells
Kennisgeving
In november 2020 is de inhoud van dit artikel bijgewerkt om de betrokken producten, vereisten en vereisten voor opnieuw opstarten te verduidelijken. Daarnaast zijn de updatemetagegevens in WSUS herzien om een Microsoft System Center Configuration Manager-rapportagefout op te lossen.
Samenvatting
Er bestaat een beveiligingsprobleem bij het vrijgeven van informatie als Visual Studio onjuist beperkte inhoud van niet-geïnitialiseerd geheugen openbaar maakt tijdens het compileren van PDB-bestanden (Program Database). Een aanvaller die misbruik maakt van het beveiligingsprobleem kan niet-geïnitialiseerd geheugen bekijken vanaf de computer die wordt gebruikt om een programmadatabasebestand te compileren.
Zie CVE-2018-1037 voor meer informatie over het beveiligingsprobleem.
De update verkrijgen en installeren
Methode 1: Microsoft Download
Het volgende bestand kan worden gedownload:
Download nu het hotfix-pakket.
Methode 2: Microsoft Update Catalog
Als u het zelfstandige pakket voor deze update wilt downloaden, gaat u naar de website van de Microsoft Update-catalogus .
Meer informatie
Vereisten
Als u deze beveiligingsupdate wilt toepassen, moet u zowel Visual Studio update 3 van 2015 als de volgende cumulatieve onderhoudsrelease-KB 3165756 geïnstalleerd. Kb-3165756 wordt meestal automatisch geïnstalleerd wanneer u Visual Studio update 3 van 2015 installeert. In sommige gevallen moet u de twee pakketten echter afzonderlijk installeren.
Vereiste voor opnieuw opstarten
U wordt aangeraden Visual Studio 2015 te sluiten voordat u deze beveiligingsupdate installeert. Anders moet u de computer mogelijk opnieuw opstarten nadat u deze beveiligingsupdate hebt toegepast als een bestand dat wordt bijgewerkt, is geopend of wordt gebruikt door Visual Studio.
Vervangingsgegevens voor beveiligingsupdates
Deze beveiligingsupdate vervangt geen andere beveiligingsupdates.
Problemen die zijn opgelost in deze beveiligingsupdate
Met deze beveiligingsupdate wordt het PDB-probleem opgelost dat wordt beschreven in CVE-2018-1037, waarbij een PDB-bestand niet-geïnitialiseerde heap-inhoud kan bevatten in een proces dat een bestaand PDB-bestand bijwerkt, zoals Mspdbsrv.exe. We raden u ten zeerste aan het bijgewerkte PDBCopy-hulpprogramma te gebruiken om elke bestaande PDB te controleren die u wilt delen of distribueren.
Problemen die niet zijn opgelost met deze beveiligingsupdate
Als u de optie /DEBUG:fastlink linker gebruikt om uw projecten of oplossingen te bouwen en u Mspdbcmf.exe gebruikt om door linker gegenereerde fastlink PDB-bestanden te converteren naar volledige PDB-bestanden, kunnen de resulterende volledige PDB-bestanden ook dit beveiligingsprobleem met openbaarmaking van informatie hebben. Ga naar dit Knowledge Base-artikel om een update voor Visual Studio 2015-Mspdbcmf.exe te verkrijgen.
Als u ook Visual Studio 2017 gebruikt, kunt u het Mspdbcmf.exe-bestand dat is opgenomen in de meest recente preview-versie van Visual Studio 2017 of update gebruiken om fastlink PDB-bestanden te converteren die worden gegenereerd door de Visual Studio 2015-linker. (PDB's die worden gegenereerd door de meest recente Visual Studio 2017 Mspdbcmf.exe bestand zijn niet kwetsbaar.)
Informatie over bestandshash
Bestandsnaam |
SHA1-hash |
SHA256-hash |
---|---|---|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Installatieverificatie
Voer de volgende stappen uit om te controleren of deze beveiligingsupdate correct wordt toegepast:
-
Open de programmamap Visual Studio 2015.
-
Zoek het Mspdbcore.dll bestand.
-
Controleer of de bestandsversie gelijk is aan of groter is dan 14.0.27534.
Informatie over beveiliging, beveiliging en ondersteuning
-
Uzelf online beschermen: Windows-beveiliging ondersteuning
-
Meer informatie over hoe we ons beschermen tegen cyberbedreigingen: Microsoft Security
-
Gelokaliseerde ondersteuning per land verkrijgen: Internationale ondersteuning
-
Meer informatie over het Visual Studio-ondersteuningsbeleid: Visual Studio productlevenscyclus en onderhoud.