Áp dụng cho: Tất cả Visual Studio Bản cập nhật 3 năm 2015 trừ Shells Cách ly và Tích hợp
Thông báo
Vào tháng 11 năm 2020, nội dung của bài viết này đã được cập nhật để làm rõ các sản phẩm bị ảnh hưởng, điều kiện tiên quyết và yêu cầu khởi động lại. Ngoài ra, siêu dữ liệu cập nhật trong WSUS đã được sửa đổi để khắc phục sự cố Trung tâm Hệ thống Microsoft Configuration Manager báo cáo.
Tóm tắt
Một lỗ hổng tiết lộ thông tin tồn tại nếu Visual Studio không chính xác tiết lộ nội dung hạn chế của bộ nhớ chưa khởi tạo trong khi biên dịch các tập tin cơ sở dữ liệu chương trình (PDB). Kẻ tấn công khai thác lỗ hổng bảo mật có thể xem bộ nhớ chưa khởi tạo từ máy tính được sử dụng để biên dịch tệp cơ sở dữ liệu chương trình.
Để tìm hiểu thêm về lỗ hổng bảo mật, hãy xem CVE-2018-1037.
Cách nhận và cài đặt bản cập nhật
Phương pháp 1: Tải xuống microsoft
Tệp sau đây có sẵn để tải xuống:
tải xuống gói cập nhật nóng ngay.
Phương pháp 2: Danh mục Microsoft Update
Để tải gói độc lập cho bản cập nhật này, hãy truy cập trang web Danh mục Microsoft Update .
Thông tin Bổ sung
Điều kiện tiên quyết
Để áp dụng bản cập nhật bảo mật này, bạn phải cài đặt cả Bản cập nhật Visual Studio 2015 3 và bản phát hành KB Bản phát hành Dịch vụ Tích lũy tiếp theo 3165756 đặt. Thông thường, kb 3165756 được cài đặt tự động khi bạn cài Visual Studio 2015 Update 3. Tuy nhiên, trong một số trường hợp, bạn phải cài đặt hai gói riêng biệt.
Yêu cầu khởi động lại
Chúng tôi khuyên bạn nên đóng Visual Studio 2015 trước khi cài đặt bản cập nhật bảo mật này. Nếu không, bạn có thể phải khởi động lại máy tính sau khi áp dụng bản cập nhật bảo mật này nếu tệp đang được cập nhật đang mở hoặc đang được sử dụng bởi người Visual Studio.
Thông tin về việc thay thế bản cập nhật bảo mật
Bản cập nhật bảo mật này không thay thế các bản cập nhật bảo mật khác.
Các sự cố đã được khắc phục trong bản cập nhật bảo mật này
Bản cập nhật bảo mật này khắc phục sự cố PDB được mô tả trong CVE-2018-1037, trong đó tệp PDB có thể chứa nội dung đống không được khởi tạo trong quy trình cập nhật tệp PDB hiện có, chẳng hạn như tệp Mspdbsrv.exe. Chúng tôi đặc biệt khuyên bạn nên sử dụng công cụ PDBCopy cập nhật để kiểm tra mọi PDB hiện có mà bạn dự định chia sẻ hoặc phân phối.
Bản cập nhật bảo mật này không khắc phục sự cố
Nếu bạn đang sử dụng tùy chọn /DEBUG:fastlink linker để xây dựng các dự án hoặc giải pháp của mình và bạn đang sử dụng Mspdbcmf.exe để chuyển đổi các tệp PDB liên kết nhanh được tạo bởi linker thành các tệp PDB đầy đủ, các tệp PDB đầy đủ dẫn đến cũng có thể có lỗ hổng tiết lộ thông tin này. Để có được bản cập nhật cho Visual Studio 2015 Mspdbcmf.exe, hãy đi đến bài viết Cơ sở Kiến thức này.
Nếu bạn cũng sử dụng Visual Studio 2017, bạn có thể sử dụng tệp Mspdbcmf.exe có trong bản xem trước hoặc bản cập nhật mới nhất của Visual Studio 2017 để chuyển đổi các tệp PDB liên kết nhanh được tạo bởi trình liên kết Visual Studio 2015. (PDB được tạo bởi tệp Visual Studio 2017 mới nhất Mspdbcmf.exe không dễ bị tấn công.)
Thông tin về băm tệp
|
Tên tệp |
Hàm băm SHA1 |
Hàm băm SHA256 |
|---|---|---|
|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
Xác minh cài đặt
Để xác minh rằng bản cập nhật bảo mật này được áp dụng đúng cách, hãy làm theo các bước sau:
-
Mở thư Visual Studio chương trình 2015.
-
Xác định vị Mspdbcore.dll tệp.
-
Xác minh rằng phiên bản tệp bằng hoặc lớn hơn 14.0.27534.
Thông tin về bảo vệ, bảo mật và hỗ trợ
-
Tự bảo vệ mình khi trực tuyến: Bảo mật Windows hỗ trợ
-
Tìm hiểu cách chúng tôi bảo vệ chống lại các mối đe dọa trên mạng: Bảo mật Microsoft
-
Nhận hỗ trợ được bản địa hóa cho mỗi quốc gia của bạn: Hỗ trợ Quốc tế
-
Xem thêm thông tin về chính sách Visual Studio hỗ trợ sản phẩm: Visual Studio Vòng đời Sản phẩm và Dịch vụ.
