Aplicável a: Todas as edições do Visual Studio 2015 Atualização 3, exceto Shells Isolados e Integrados
Aviso
Em novembro de 2020, o conteúdo deste artigo foi atualizado para esclarecer os produtos afetados, os pré-requisitos e os requisitos de reinicialização. Além disso, os metadados de atualização no WSUS foram revisados para corrigir um erro de relatório do Microsoft System Center Configuration Manager.
Resumo
Existe uma vulnerabilidade de divulgação de informações se o Visual Studio divulga incorretamente o conteúdo de sua memória não inicializada enquanto compila arquivos de banco de dados do programa (PDB). Um invasor que explorasse a vulnerabilidade poderia visualizar a memória não inicializada do computador usado para compilar um arquivo de banco de dados de programa.
Para saber mais sobre a vulnerabilidade, consulte CVE-2018-1037.
Como obter e instalar a atualização
Método 1: Centro de Download
O seguinte arquivo está disponível para download:
Método 2: Catálogo do Microsoft Update
Para obter o pacote autônomo dessa atualização, acesse o site do Catálogo do Microsoft Update.
Mais informações
Pré-requisitos
Para aplicar esta atualização de segurança, você deve ter o Visual Studio 2015 Atualização 3 e a Versão de Manutenção Cumulativa KB 3165756 subsequente instalados. Em geral, o KB 3165756 é instalado automaticamente quando você instala o Visual Studio 2015 Atualização 3. No entanto, em alguns casos, você deve instalar os dois pacotes separadamente.
Necessidade de reinicialização
Recomendamos que você feche o Visual Studio 2015 antes de instalar essa atualização de segurança. Caso contrário, você poderá ter que reiniciar o computador depois de aplicar essa atualização de segurança se um arquivo que está sendo atualizado estiver aberto ou em uso pelo Visual Studio.
Informações sobre a substituição da atualização de segurança
Esta atualização de segurança não substitui outras atualizações de segurança.
Problemas corrigidos nesta atualização de segurança
Esta atualização de segurança resolve o problema com o PDB descrito na CVE-2018-1037, em que um arquivo PDB pode incluir conteúdo de heap não inicializado em um processo que atualiza um arquivo PDB existente, como Mspdbsrv.exe. Recomendamos o uso da ferramenta PDBCopy atualizada para verificar cada PDB existente que você pretende compartilhar ou distribuir.
Problemas que não são corrigidos por esta atualização de segurança
Se você estiver usando a opção de compilador /DEBUG:fastlink para construir seus projetos ou soluções e estiver usando Mspdbcmf.exe para converter arquivos PDB de fastlink gerados por vinculadores em arquivos PDB completos, os arquivos PDB completos resultantes também poderão ter essa vulnerabilidade de divulgação de informações. Para obter uma atualização para o Visual Studio 2015 Mspdbcmf.exe, acesse este artigo da Base de Dados de Conhecimento.
Se você também usa o Visual Studio 2017, pode usar o arquivo Mspdbcmf.exe incluído na prévia ou atualização mais recente do Visual Studio 2017 para converter arquivos PDB de fastlink gerados pelo vinculador do Visual Studio 2015. (PDBs gerados pelo arquivo Mspdbcmf.exe do Visual Studio 2017 mais recente não são vulneráveis.)
Informações de hash de arquivos
|
File name |
Hash SHA1 |
Hash SHA256 |
|---|---|---|
|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Verificação de instalação
Para verificar se esta atualização de segurança foi aplicada corretamente, siga estas etapas:
-
Abra a pasta do programa Visual Studio 2015.
-
Localize o arquivo Mspdbcore.dll.
-
Verifique se a versão do arquivo é igual ou superior a 14.0.27534.
Informações sobre proteção, segurança e suporte
-
Proteja-se online: suporte à Segurança do Windows
-
Saiba como protegemos contra ameaças cibernéticas: Segurança da Microsoft
-
Obtenha suporte localizado de acordo com seu país: Suporte Internacional
-
Obtenha mais informações sobre a política de Visual Studio de suporte: Ciclo de vida e manutenção do produto Visual Studio.
