适用于: 所有 Visual Studio 2015 Update 3 版本,除了独立和集成的 Shell
注意
2020 年 11 月本文的内容进行了更新,以澄清受影响的产品、先决条件和重启要求。 此外,WSUS 中的更新元数据已被修订,以修复 Microsoft System Center Configuration Manager 报告错误。
摘要
如果 Visual Studio 在编译程序数据库 (PDB) 文件时不正确地泄漏未初始化内存的有限内容,存在信息泄漏漏洞。 利用此漏洞的攻击者可以从用于编译程序数据库文件的计算机查看未初始化的内存。 CVE-2018-1037。
若要了解有关此漏洞的更多信息,请参阅如何获取和安装更新
方法 1: Microsoft 下载
以下文件可供下载:立即下载修补程序包。
方法 2:Microsoft Update 目录
若要获取此更新的独立程序包,请转到 Microsoft 更新目录网站。
更多信息
先决条件
若要应用此安全更新,您必须安装 Visual Studio 2015 Update 3 和后续累积服务发行版 KB 3165756。 当您安装 Visual Studio 2015 Update 3 时,KB 3165756 通常为自动安装。 但是在某些情况下,您必须分别安装两个程序包。
重启要求
建议在安装此安全更新之前,关闭 Visual Studio 2015。 否则,如果正在更新的文件已打开或由 Visual Studio 使用,则应用此安全更新后,可能需要重新启动计算机。
安全更新替换信息
此安全更新不替换其他安全更新。
此安全更新中修复的问题
此修补程序解决了 CVE-2018-1037 中所述的 PDB 问题,其中 PDB 文件可能在更新现有 PDB 文件的进程(如 Mspdbsrv.exe)中包含未初始化的堆内容。 我们强烈建议你使用 更新的 PDBCopy 工具 来检查你打算分享或分发的每个现有 PDB。
此安全更新中未修复的问题
如果你正在使用 /DEBUG:fastlink 选项构建项目或解决方案,并且正在使用 mspdbcmf.exe 将链接器生成的 fastlink PDB 文件转换为完整的 PDB 文件,则生成的完整 PDB 文件也可能具有此信息泄漏漏洞。 要获取 Visual Studio 2015 Mspdbcmf.exe 的更新,请转到此知识库文章。
如果你还使用 Visual Studio 2017,则可以使用最新的 Visual Studio 2017 预览版 或 更新版https://www.visualstudio.com/downloads/中包含的 Mspdbcmf.exe 文件来转换由 Visual Studio 2015 链接器生成的 fastlink PDB 文件。 (由最新的 Visual Studio 2017 Mspdbcmf.exe 文件生成的 PDB 不易受到攻击。)
文件哈希信息
File name |
SHA1 哈希 |
SHA256 哈希 |
---|---|---|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
安装验证
若要验证是否正确应用此安全更新,请按以下步骤进行操作:
-
打开 Visual Studio 2015 程序文件夹。
-
找到 Mspdbcore.dll 文件。
-
验证文件版本是否为 14.0.27534 或更高版本。
有关保护、安全性与支持的信息
-
保护自己的上网安全:Windows 安全支持
-
了解如何防范网络威胁:Microsoft 安全
-
根据国家/地区获取本地化支持:国际支持
-
获取有关 Visual Studio 支持策略的更多信息:Visual Studio 产品生命周期和服务。