นําไปใช้กับ: การอัปเดตVisual Studio 2015 3 ทั้งหมดยกเว้น Shell แบบแยกและแบบรวม
ประกาศ
ในเดือนพฤศจิกายน 2020 เนื้อหาของบทความนี้ได้รับการอัปเดตเพื่อชี้แจงผลิตภัณฑ์ที่ได้รับผลกระทบข้อกําหนดเบื้องต้นและข้อกําหนดการเริ่มระบบใหม่ นอกจากนี้ เมตาดาต้าการอัปเดตใน WSUS ได้รับการแก้ไขเพื่อแก้ไขข้อผิดพลาดของ Microsoft System Center Configuration Managerการรายงานบัก
สรุป
ช่องโหว่การเปิดเผยข้อมูลอยู่หากVisual Studioเปิดเผยเนื้อหาที่จํากัดของหน่วยความจําที่ไม่ได้เตรียมใช้งานอย่างไม่ถูกต้องขณะคอมไพล์ไฟล์ฐานข้อมูลโปรแกรม (PDB) ผู้โจมตีที่ใช้ประโยชน์จากช่องโหว่นี้สามารถดูหน่วยความจําที่ไม่ได้เตรียมใช้งานจากคอมพิวเตอร์ที่ใช้คอมไพล์แฟ้มฐานข้อมูลของโปรแกรม
เมื่อต้องการเรียนรู้เพิ่มเติมเกี่ยวกับช่องโหว่ดู CVE-2018-1037
วิธีการรับและติดตั้งการอัปเดต
วิธีที่ 1: ดาวน์โหลด Microsoft
แฟ้มต่อไปนี้สามารถดาวน์โหลดได้แล้ว:
ดาวน์โหลดแพคเกจโปรแกรมแก้ไขด่วนเดี๋ยวนี้
วิธีที่ 2: Microsoft Update Catalog
เมื่อต้องการขอรับแพคเกจสแตนด์อโลนสําหรับการอัปเดตนี้ ให้ไปที่เว็บไซต์ Microsoft Update Catalog
ข้อมูลเพิ่มเติม
ข้อกำหนดเบื้องต้น
เมื่อต้องการใช้การอัปเดตความปลอดภัยนี้ คุณต้องมีทั้งการอัปเดตVisual Studio 2015 3 และการอัปเดตการให้บริการแบบสะสมที่ตามมา3165756ติดตั้งไว้ โดยทั่วไป 3165756 KB จะได้รับการติดตั้งโดยอัตโนมัติเมื่อคุณติดตั้ง Visual Studio 2015 Update 3 อย่างไรก็ตาม ในบางกรณี คุณต้องติดตั้งแพคเกจทั้งสองแบบแยกต่างหาก
ความต้องการในการเริ่มระบบใหม่
เราขอแนะนําให้คุณปิด Visual Studio 2015 ก่อนที่คุณจะติดตั้งการอัปเดตความปลอดภัยนี้ มิฉะนั้น คุณอาจต้องเริ่มระบบของคอมพิวเตอร์ใหม่หลังจากคุณใช้ Visual Studioปรับปรุงการรักษาความปลอดภัยนี้
ข้อมูลการแทนที่การอัปเดตความปลอดภัย
การอัปเดตความปลอดภัยนี้ไม่ได้แทนที่การอัปเดตความปลอดภัยอื่นๆ
ปัญหาที่ได้รับการแก้ไขในการอัปเดตความปลอดภัยนี้
การอัปเดตความปลอดภัยนี้แก้ไขปัญหา PDB ที่อธิบายไว้ใน CVE-2018-1037 ซึ่งไฟล์ PDB อาจมีเนื้อหาฮีปที่ไม่ได้เริ่มต้นในกระบวนการที่อัปเดตไฟล์ PDB ที่มีอยู่ เช่น Mspdbsrv.exe เราขอแนะนําให้คุณใช้ เครื่องมือ PDBCopy ที่อัปเดต เพื่อตรวจสอบ PDB ที่มีอยู่ทั้งหมดที่คุณต้องการแชร์หรือแจกจ่าย
ปัญหาที่ไม่ได้รับการแก้ไขโดยการอัปเดตความปลอดภัยนี้
หากคุณกําลังใช้ตัวเลือก /DEBUG:fastlink linker เพื่อสร้างโครงการหรือโซลูชันของคุณ และคุณกําลังใช้Mspdbcmf.exeเพื่อแปลงไฟล์ PDB fastlink ที่สร้างตัวเชื่อมโยงเป็นไฟล์ PDB แบบเต็ม ไฟล์ PDB แบบเต็มอาจยังมีช่องโหว่การเปิดเผยข้อมูลนี้ เมื่อต้องการขอรับการปรับปรุงสําหรับMspdbcmf.exe Visual Studio 2015 ให้ไปที่บทความฐานความรู้นี้
ถ้าคุณใช้ Visual Studio 2017 คุณสามารถใช้ไฟล์Mspdbcmf.exeที่รวมอยู่ในการแสดงตัวอย่างหรือการอัปเดตล่าสุดVisual Studio 2017 เพื่อแปลงไฟล์ PDB fastlink ที่สร้างขึ้นโดยตัวเชื่อมโยงVisual Studio 2015 (PDF ที่สร้างโดยไฟล์ Visual Studio 2017 Mspdbcmf.exe ล่าสุดจะไม่มีความเสี่ยง)
ข้อมูลแฮชของไฟล์
ชื่อไฟล์ |
แฮช SHA1 |
แฮช SHA256 |
---|---|---|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
การตรวจสอบการติดตั้ง
การตรวจสอบว่าการอัพเดทการรักษาความปลอดภัยนี้มีการใช้งานอย่างถูกต้องหรือไม่ ให้ทําตามขั้นตอนต่างๆ ต่อไปนี้:
-
เปิดโฟลเดอร์โปรแกรม Visual Studio 2015
-
ระบุตําแหน่งไฟล์Mspdbcore.dll
-
ตรวจสอบว่าเวอร์ชันไฟล์เท่ากับหรือมากกว่า 14.0.27534
ข้อมูลเกี่ยวกับการป้องกัน ความปลอดภัย และการสนับสนุน
-
ปกป้องตัวคุณเองทางออนไลน์: การสนับสนุนความปลอดภัยของ Windows
-
เรียนรู้วิธีที่เราป้องกันภัยคุกคามทางไซเบอร์: ความปลอดภัยของ Microsoft
-
รับการสนับสนุนเป็นภาษาท้องถิ่นในประเทศของคุณ: การสนับสนุนระหว่างประเทศ
-
ดูข้อมูลเพิ่มเติมเกี่ยวกับนโยบายการสนับสนุนVisual Studio: Visual Studio วงจรการใช้งานและการให้บริการของผลิตภัณฑ์