Застосовується до: Усі випуски оновлення 3 Visual Studio 2015, крім ізольованих та інтегрованих оболонок
Примітка
У листопаді 2020 року вміст цієї статті оновлено для уточнення уражених продуктів, передумов і вимог до перезавантаження. Крім того, було переглянуто метадані оновлення в WSUS для виправлення помилки звітування системного центру Microsoft Configuration Manager.
Загальні відомості
Уразливість розкриття інформації існує, якщо Visual Studio неправильно розкриває обмежений вміст неініціалізованої пам'яті під час компіляції файлів бази даних програм (PDB). Зловмисник, який використовує вразливості може переглянути неініціалізованої пам'яті з комп'ютера, який використовується для компіляції файлу бази даних програми.
Докладні відомості про вразливість див. в статті CVE-2018-1037.
Отримання та інсталяція оновлення
Спосіб 1. Завантаження Microsoft
Доступний для завантаження такий файл:
Спосіб 2. Каталог Microsoft Update
Щоб отримати автономний пакет для цього оновлення, перейдіть на веб-сайт Каталог Microsoft Update .
Додаткова інформація
Попередні вимоги
Щоб застосувати це оновлення системи безпеки, потрібно мати як Visual Studio 2015 оновлення 3, так і наступні сукупний пакет оновлень KB 3165756 інстальовано. Зазвичай 3165756 KB інсталюється автоматично під час інсталяції Visual Studio 2015 оновлення 3. Однак у деяких випадках потрібно інсталювати два пакети окремо.
Необхідність перезавантаження
Перш ніж інсталювати це оновлення системи безпеки, радимо закрити Visual Studio 2015 р. В іншому разі може знадобитися перезавантажити комп'ютер після застосування цього оновлення системи безпеки, якщо файл, який оновлюється, відкрито або використовується Visual Studio.
Відомості про заміну оновлень системи безпеки
Це оновлення системи безпеки не замінює інші оновлення системи безпеки.
Проблеми, які усуваються в цьому оновленні системи безпеки
Це оновлення системи безпеки усуває проблему PDB, описану в CVE-2018-1037, у якій файл PDB може містити неініціалізований вміст купи в процесі оновлення наявного файлу PDB, наприклад Mspdbsrv.exe. Ми наполегливо рекомендуємо використовувати оновлений інструмент PDBCopy , щоб перевіряти всі наявні PDB, до яких ви плануєте надавати спільний доступ або розповсюджувати їх.
Проблеми, які не вирішено в цьому оновленні системи безпеки
Якщо ви використовуєте засіб зв'язування /DEBUG:fastlink для створення проектів або рішень, а ви використовуєте Mspdbcmf.exe для перетворення файлів PDB, створених за допомогою зв'язування, на повні файли PDB, ця вразливість може також мати повні файли PDB. Щоб отримати оновлення Visual Studio 2015 Mspdbcmf.exe, перейдіть до цієї статті бази знань.
Якщо ви також використовуєте Visual Studio 2017, ви можете скористатися файлом Mspdbcmf.exe, який входить до складу останньої версії Visual Studio 2017 preview або update, щоб перетворювати файли PDB з раннім зв'язком, створеним за допомогою зв'язування Visual Studio 2015 року. (PDBs, створені останнім файлом Visual Studio 2017 Mspdbcmf.exe, не вразливі.)
Докладні відомості про геш файлів
|
Ім’я файлу |
Геш-код SHA1 |
Геш-код SHA256 |
|---|---|---|
|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Перевірка інсталяції
Щоб переконатися, що це оновлення системи безпеки застосовано належним чином, виконайте такі дії:
-
Відкрийте папку програми Visual Studio 2015.
-
Знайдіть файл Mspdbcore.dll.
-
Переконайтеся, що версія файлу не менша за 14.0.27534.
Відомості про захист, безпеку та підтримку
-
Захистіть себе в Інтернеті: підтримка Безпека у Windows
-
Дізнайтеся, як ми захищаємо від кіберзагроз: Microsoft Security
-
Отримайте локалізовану підтримку для своєї країни: міжнародна підтримка
-
Дізнайтеся більше про політику підтримки Visual Studio: Visual Studio життєвий цикл продукту та обслуговування.
