Применимо к: Все Visual Studio версии 2015 с обновлением 3, кроме изолированных и интегрированных оболок
Примечание.
В ноябре 2020 г. содержимое этой статьи было обновлено, чтобы уточнить затронутые продукты, предварительные требования и требования к перезапуску. Кроме того, метаданные обновления в WSUS были изменены, чтобы исправить ошибку microsoft System Center Configuration Manager отчетов.
Аннотация
Уязвимость раскрытия информации существует, если Visual Studio некорректно раскрывает ограниченное содержимое неинициализированной памяти при компиляции файлов программных баз данных (PDB). Злоумышленник, который использует уязвимость, может просматривать неинициализированную память с компьютера, используемого для компиляции файла базы данных программы.
Дополнительные сведения об уязвимости см. в CVE-2018-1037.
Как получить и установить обновление
Метод 1. Скачивание от Майкрософт
Следующий файл доступен для скачивания:
Метод 2. Каталог Центра обновления Майкрософт
Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога центра обновления Майкрософт.
Дополнительная информация
Предварительные условия
Чтобы применить это обновление для системы безопасности, необходимо установить Visual Studio 2015 с обновлением 3 и последующим накопительным пакетом обновления 3165756 обслуживания. Как правило, 3165756 базы знаний устанавливается автоматически при установке Visual Studio 2015 с обновлением 3. Однако в некоторых случаях необходимо установить два пакета отдельно.
Требование перезагрузки
Перед установкой этого обновления безопасности рекомендуется закрыть Visual Studio 2015. В противном случае может потребоваться перезапустить компьютер после применения этого обновления безопасности, если обновляемый файл открыт или используется Visual Studio.
Сведения о замене обновлений системы безопасности
Это обновление для системы безопасности не заменяет другие обновления для системы безопасности.
Проблемы, исправленные в этом обновлении безопасности
Это обновление системы безопасности решает проблему PDB, описанную в CVE-2018-1037, в которой PDB-файл может содержать неинициализированное содержимое кучи в процессе обновления существующего PDB-файла, например Mspdbsrv.exe. Мы настоятельно рекомендуем использовать обновленное средство PDBCopy для проверки всех существующих PDB-файлов, которые вы планируете совместно использовать или распространять.
Проблемы, не исправленные этим обновлением системы безопасности
Если вы используете параметр компоновщика /DEBUG:fastlink для создания проектов или решений и используете Mspdbcmf.exe для преобразования PDB-файлов fastlink, созданных компоновщиком, в полные PDB-файлы, полученные полные PDB-файлы также могут иметь эту уязвимость раскрытия информации. Чтобы получить обновление Visual Studio 2015 Mspdbcmf.exe, перейдите к этой статье базы знаний.
Если вы также используете Visual Studio 2017, можно использовать файл Mspdbcmf.exe, включенный в последнюю предварительную версию Visual Studio 2017 или обновление, для преобразования PDB-файлов fastlink, созданных компоновщиком Visual Studio 2015. (PDB, созданные с помощью последней версии Visual Studio 2017 Mspdbcmf.exe, не уязвимы.)
Сведения о хэш-файле
|
Имя файла |
Хэш SHA1 |
Хэш SHA256 |
|---|---|---|
|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Проверка установки
Чтобы убедиться, что это обновление безопасности применено правильно, выполните следующие действия.
-
Откройте папку Visual Studio 2015.
-
Найдите Mspdbcore.dll файла.
-
Убедитесь, что версия файла равна или больше 14.0.27534.
Сведения о защите, безопасности и поддержке
-
Защита в Интернете: Безопасность Windows поддержки
-
Узнайте, как защититься от киберугрок: безопасность Майкрософт
-
Получение локализованной поддержки для вашей страны: поддержка по международной поддержке
-
Дополнительные сведения о политике Visual Studio поддержки: Visual Studio жизненного цикла и обслуживания продукта.
