適用於: 所有 Visual Studio 2015 Update 3 版本,除了獨立和整合 Shell
注意事項
2020 年 11 月本文的內容進行了更新,以澄清受影響的產品、先決條件和重啟要求。 此外,WSUS 中的更新中繼資料已被修訂,以修復 Microsoft System Center Configuration Manager 報告錯誤。
摘要
若 Visual Studio 在編譯程式資料庫 (PDB) 檔案時,未正確地洩漏未初始化記憶體的限制內容,即存在資訊洩漏弱點。 利用弱點的攻擊者可能會在用來編譯程式資料庫檔案的電腦中檢視未初始化的記憶體。
若要深入了解弱點,請參閱 CVE-2018-1037。
如何取得並安裝更新
方法 1: Microsoft 下載
下列檔案可供下載:
立即下載 Hotfix 套件。
方法 2:Microsoft Update Catalog
若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。
其他相關資訊
先決條件
如需套用此安全更新,您必須安裝 Visual Studio 2015 Update 3 和後續的 Cumulative Servicing Release KB 3165756。 當您安裝 Visual Studio 2015 Update 3 時,KB 3165756 通常為自動安裝。 但是在某些情況下,您必須分別安裝兩個封裝。
重新啟動需求
建議您先關閉 Visual Studio 2015,再安裝此安全性更新。 否則,如果正在更新的檔案已開啟或由 Visual Studio 使用,您可能需要在套用此安全性更新後重新啟動電腦。
安全性更新取代資訊
此安全性更新不會取代其他安全性更新。
此安全性更新所修正的問題
此安全性更新能解決 CVE-2018-1037 中所述的 PDB 問題,即在某個用來更新現有 PDB 檔案的處理程序 (例如 Mspdbsrv.exe) 中,PDB 檔案可能包含未初始化的堆積內容。 強烈建議您使用更新版 PDBCopy 工具,檢查每個您打算分享或散發的現有 PDB。
此安全性更新未修正的問題
如果您使用 /DEBUG:fastlink 連結器選項建立專案或解決方案,並且使用 Mspdbcmf.exe 將連結器產生的 fastlink PDB 檔案轉換為完整 PDB 檔案,則產生的完整 PDB 檔案可能也會存在這個資訊洩漏弱點。 若要取得 Visual Studio 2015 Mspdbcmf.exe 的更新,請前往此知識庫文章。
如果您也使用 Visual Studio 2017,可以使用最新版 Visual Studio 2017 預覽或更新https://www.visualstudio.com/downloads/隨附的 Mspdbcmf.exe 檔案來轉換 Visual Studio 2015 連結器所產生的 fastlink PDB 檔案 (最新版 Visual Studio 2017 Mspdbcmf.exe 檔案所產生的 PDB 不易受攻擊)。
檔案雜湊資訊
檔案名稱 |
SHA1 雜湊 |
SHA256 雜湊 |
---|---|---|
vs14-kb4087371.exe |
DF129BA5448973FBD81471107E16C7D2E0199BB7 |
C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E |
安裝驗證
若要確認已正確套用此安全性更新,請依照下列步驟執行:
-
開啟 Visual Studio 2015 程式資料夾。
-
找出 Mspdbcore.dll 檔案。
-
確認檔案版本等於或大於 14.0.27534。
有關保護、安全性與支援的資訊
-
線上自我保護: Windows 安全性支援
-
了解我們如何防範網路威脅: Microsoft 安全性
-
取得每個國家/地區當地語系化的支援:國際化支援
-
取得有關 Visual Studio 支援原則 :Visual Studio 產品生命週期與維護之詳細資訊。