適用於: 所有 Visual Studio 2015 Update 3 版本,除了獨立和整合 Shell 

注意事項

2020 年 11 月本文的內容進行了更新,以澄清受影響的產品、先決條件和重啟要求。 此外,WSUS 中的更新中繼資料已被修訂,以修復 Microsoft System Center Configuration Manager 報告錯誤。

摘要

若 Visual Studio 在編譯程式資料庫 (PDB) 檔案時,未正確地洩漏未初始化記憶體的限制內容,即存在資訊洩漏弱點。 利用弱點的攻擊者可能會在用來編譯程式資料庫檔案的電腦中檢視未初始化的記憶體。

若要深入了解弱點,請參閱 CVE-2018-1037

如何取得並安裝更新

方法 1: Microsoft 下載

下列檔案可供下載:

下載 立即下載 Hotfix 套件

方法 2:Microsoft Update Catalog

若要取得此更新的獨立套件,請前往 Microsoft Update Catalog 網站。

其他相關資訊

先決條件

如需套用此安全更新,您必須安裝 Visual Studio 2015 Update 3 和後續的 Cumulative Servicing Release KB 3165756。 當您安裝 Visual Studio 2015 Update 3 時,KB 3165756 通常為自動安裝。 但是在某些情況下,您必須分別安裝兩個封裝。

重新啟動需求

建議您先關閉 Visual Studio 2015,再安裝此安全性更新。 否則,如果正在更新的檔案已開啟或由 Visual Studio 使用,您可能需要在套用此安全性更新後重新啟動電腦。

安全性更新取代資訊

此安全性更新不會取代其他安全性更新。

此安全性更新所修正的問題

此安全性更新能解決 CVE-2018-1037 中所述的 PDB 問題,即在某個用來更新現有 PDB 檔案的處理程序 (例如 Mspdbsrv.exe) 中,PDB 檔案可能包含未初始化的堆積內容。 強烈建議您使用更新版 PDBCopy 工具,檢查每個您打算分享或散發的現有 PDB。

此安全性更新未修正的問題

如果您使用 /DEBUG:fastlink 連結器選項建立專案或解決方案,並且使用 Mspdbcmf.exe 將連結器產生的 fastlink PDB 檔案轉換為完整 PDB 檔案,則產生的完整 PDB 檔案可能也會存在這個資訊洩漏弱點。 若要取得 Visual Studio 2015 Mspdbcmf.exe 的更新,請前往此知識庫文章

如果您也使用 Visual Studio 2017,可以使用最新版 Visual Studio 2017 預覽或更新https://www.visualstudio.com/downloads/隨附的 Mspdbcmf.exe 檔案來轉換 Visual Studio 2015 連結器所產生的 fastlink PDB 檔案 (最新版 Visual Studio 2017 Mspdbcmf.exe 檔案所產生的 PDB 不易受攻擊)。

檔案雜湊資訊

檔案名稱

SHA1 雜湊

SHA256 雜湊

vs14-kb4087371.exe

DF129BA5448973FBD81471107E16C7D2E0199BB7

C452851427B185162E0FBF2FD62E2D5EF000BFB184A62D0C0FB273D4546F937E

安裝驗證

若要確認已正確套用此安全性更新,請依照下列步驟執行:

  1. 開啟 Visual Studio 2015 程式資料夾。

  2. 找出 Mspdbcore.dll 檔案。

  3. 確認檔案版本等於或大於 14.0.27534

有關保護、安全性與支援的資訊

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

How satisfied are you with the translation quality?
What affected your experience?

Thank you for your feedback!

×