Gäller för: Alla Visual Studio 2015 Update 3-utgåvor utom isolerade och integrerade skal
Obs!
I november 2020 uppdaterades innehållet i den här artikeln för att klargöra de berörda produkterna, förutsättningarna och omstartskraven. Dessutom har uppdateringsmetadata i WSUS reviderats för att åtgärda en Microsoft-System Center Configuration Manager rapporteringsfel.
Sammanfattning
Det finns en säkerhetsrisk med informationsläcka om Visual Studio felaktigt avslöjar begränsat innehåll i pdb-filer (uninitialized memory) vid kompilering av programdatabasfiler. En angripare som utnyttjar säkerhetsrisken kan visa oinitierat minne från datorn som används för att kompilera en programdatabasfil.
Mer information om säkerhetsrisken finns i CVE-2018-1037.
Hämta och installera uppdateringen
Metod 1: Microsoft Download
Följande fil kan laddas ned:
Ladda ned snabbkorrigeringspaketet nu.
Metod 2: Microsoft Update Catalog
Om du vill hämta det fristående paketet för den här uppdateringen går du till webbplatsen Microsoft Update Catalog .
Mer information
Förutsättningar
Om du vill installera den här säkerhetsuppdateringen måste du ha både Visual Studio 2015 Update 3 och den efterföljande kumulativa servicingversionen KB 3165756 installerad. Vanligtvis installeras KB-3165756 automatiskt när du installerar Visual Studio 2015 Update 3. Men i vissa fall måste du installera de två paketen separat.
Krav på omstart
Vi rekommenderar att du stänger Visual Studio 2015 innan du installerar den här säkerhetsuppdateringen. Annars kan du behöva starta om datorn efter att du har installerat den här säkerhetsuppdateringen om en fil som uppdateras är öppen eller används av Visual Studio.
Ersättningsinformation för säkerhetsuppdateringar
Den här säkerhetsuppdateringen ersätter inte andra säkerhetsuppdateringar.
Problem som är åtgärdade i den här säkerhetsuppdateringen
Den här säkerhetsuppdateringen åtgärdar pdb-problemet som beskrivs i CVE-2018-1037, där en PDB-fil kan innehålla heap-innehåll som inte har initierats i en process som uppdaterar en befintlig PDB-fil, till exempel Mspdbsrv.exe. Vi rekommenderar starkt att du använder det uppdaterade PDBCopy-verktyget för att kontrollera alla befintliga PDF-filer som du tänker dela eller distribuera.
Problem som inte åtgärdas av den här säkerhetsuppdateringen
Om du använder alternativet /DEBUG:fastlink linker för att skapa projekt eller lösningar och du använder Mspdbcmf.exe för att konvertera länkgenererade FASTLINK PDB-filer till fullständiga PDB-filer, kan det resulterande fullständiga PDB-filerna också ha den här säkerhetsrisken för informationsläckage. Om du vill ha en uppdatering till Visual Studio 2015 Mspdbcmf.exe går du till den här Knowledge Base-artikeln.
Om du också använder Visual Studio 2017 kan du använda den Mspdbcmf.exe fil som ingår i den senaste förhandsversionen av Visual Studio 2017 eller uppdateringen för att konvertera snabblänkade PDB-filer som genereras av Visual Studio 2015-länkaren. (PDF-filer som genereras av den senaste Visual Studio 2017-Mspdbcmf.exe-filen är inte sårbara.)
Filhashinformation
Filnamn |
SHA1-hash |
SHA256-hash |
---|---|---|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Installationsverifiering
Så här kontrollerar du att den här säkerhetsuppdateringen tillämpas korrekt:
-
Öppna programmappen Visual Studio 2015.
-
Leta reda på den Mspdbcore.dll filen.
-
Kontrollera att filversionen är lika med eller större än 14.0.27534.
Information om skydd, säkerhet och support
-
Skydda dig själv online: Windows-säkerhet support
-
Lär dig hur vi skyddar oss mot cyberhot: Microsoft Security
-
Få lokaliserad support per land: Internationell support
-
Få mer information om supportpolicyn för Visual Studio: Visual Studio produktlivscykel och underhåll.