Sdílet prostřednictvím

Dev15LogoZpráva k vydání verze pro Visual Studio 2017 verze 15.9

  • Článek

Komunita vývojářů | Požadavky na systém | Kompatibilita | Distribuovatelný kód | Licenční podmínky | Blogy | Známé problémy

Poznámka:

Nejedná se o nejnovější verzi sady Visual Studio. Pokud si chcete stáhnout nejnovější verzi, navštivte prosím web sady Visual Studio .

Časový rámec podpory

Visual Studio 2017 verze 15.9 je konečný podporovaný servisní směrný plán pro Visual Studio 2017 a vstoupil do období rozšířené podpory. Zákazníkům s licencí Enterprise a Professional, kteří potřebují zavést dlouhodobě stabilní a bezpečné vývojové prostředí, doporučujeme tuto verzi standardizovat. Jak je vysvětleno podrobněji v našich zásadách životního cyklu a podpory, verze 15.9 bude podporována s aktualizacemi zabezpečení do dubna 2027, což je zbytek životního cyklu produktu Visual Studio 2017.

Vzhledem k tomu, že visual Studio 2017 je teď v rozšířené podpoře, všechny aktualizace správce teď pokrývají všechny rozsahy podverze produktu. To znamená, že všechny aktualizace zabezpečení poskytované prostřednictvím katalogu Microsoft Update nebo Microsoft Endpoint Manageru aktualizují klienta na nejnovější zabezpečenou verzi produktu Visual Studio 2017.

.NET Core 2.1 je od 21. srpna 2021 mimo podporu

Vydání verze 15.9 sady Visual Studio 2017

Důležité

Oznámení o informačním zpravodaji zabezpečení k sadě Visual Studio 2017 verze 15.9

Visual Studio 2017 verze 15.9.68

Vydáno 12. listopadu 2024

Problémy vyřešené v této verzi

  • Tato aktualizace zahrnuje opravy týkající se dodržování předpisů sady Visual Studio.

Visual Studio 2017 verze 15.9.67

Vydáno 8. října 2024

Problémy vyřešené v této verzi

  • Aktualizovaná metoda ověřování používaná při interakci s Microsoft Storem

Vyřešené informační zpravodaje zabezpečení

  • CVE-2024-43603 – Ohrožení zabezpečení spočívající v útoku DoS ve službě Kolektor sady Visual Studio
  • CVE-2024-43590 Ohrožení zabezpečení spočívající v zvýšení oprávnění v instalačním programu visual Studio C++ Redistributable

Visual Studio 2017 verze 15.9.66

Vydáno 10. září 2024

Problémy vyřešené v této verzi

Vyřešené informační zpravodaje zabezpečení

CVE-2024-35272 OHROŽENÍ ZABEZPEČENÍ Zprostředkovatele vzdáleného spuštění kódu zprostředkovatele OLE DB nativního klienta SQL Serveru

Visual Studio 2017 verze 15.9.65

Vydáno 13. srpna 2024

Problémy vyřešené v této verzi

  • Od této verze už Instalační program pro Visual Studio nebude nabízet instalaci volitelné komponenty Xamarin Workbooks.
  • Od této verze už Instalační program pro Visual Studio nebude nabízet instalaci komponenty Emulátor sady Visual Studio pro Android.

Vyřešené informační zpravodaje zabezpečení

  • CVE-2024-29187(Znovu publikovat) – Instalační programy založené na WiX jsou při spuštění jako SYSTEM ohroženy binárním zneužitím

Visual Studio 2017 verze 15.9.64

Vydáno 9. července 2024

Problémy vyřešené v této verzi

  • Verze 6.2 nástroje AzCopy už není distribuovaná jako součást sady funkcí Azure v sadě Visual Studio kvůli vyřazení. Nejnovější podporovanou verzi nástroje AzCopy si můžete stáhnout ze stránky Začínáme s nástrojem AzCopy.
  • Od této verze už Instalační program pro Visual Studio nebude nabízet instalaci emulátorů Windows 10 Mobile. Pokud byste je chtěli dál používat, můžete je nainstalovat ze stránky archivu sady Windows SDK a emulátoru.
  • Aktualizujte MinGit na verzi 2.45.2.1, která obsahuje GCM 2.5, která řeší problém s předchozí verzí GCM, kde po klonování oznámila chybu zpět do Gitu a zobrazila se, jako by klon selhal.

Visual Studio 2017 verze 15.9.63

Vydáno 11. června 2024

Problémy vyřešené v této verzi

Vyřešené informační zpravodaje zabezpečení

  • CVE-2024-30052 Remote Code Execution při ladění souborů s výpisem paměti, které obsahují škodlivý soubor s příslušnou příponou
  • CVE-2024-29060 Zvýšení oprávnění, kde je spuštěná ovlivněná instalace sady Visual Studio
  • CVE-2024-29187 Instalační programy založené na WiX jsou při spuštění jako SYSTEM zranitelné vůči binárnímu napadení

Visual Studio 2017 verze 15.9.62

Vydáno 14. května 2024

Problémy vyřešené v této verzi

  • Tato verze obsahuje aktualizaci OpenSSL na verzi 3.2.1.

Vyřešené informační zpravodaje zabezpečení

  • CVE-2024-32002 Rekurzivní klony v systému souborů nerozlišující velká a malá písmena, které podporují symlinky, jsou náchylné ke vzdálenému spuštění kódu.
  • CVE-2024-32004 Remote Code Execution při klonování speciálních místních úložišť

Visual Studio 2017 verze 15.9.61

Vydáno 9. dubna 2024

Problémy vyřešené v této verzi

  • S touto opravou chyb teď může klient použít bootstrapper v rozložení a předat parametr --noWeb k instalaci na klientský počítač a zajistit, aby instalační program i produkt sady Visual Studio byly staženy pouze z rozložení. Dříve instalační program během procesu instalace nerespektoval parametr -noWeb a pokusil se sám provést vlastní aktualizaci z webu.

Visual Studio 2017 verze 15.9.60

Vydáno na webu 13. února 2024 a vydáno ve službě Microsoft Update 12. března 2024

Problémy vyřešené v této verzi

  • V uživatelském rozhraní Instalační program pro Visual Studio se teď odeberou verze podpory modulu runtime .NET zahrnuté ve verzi 15.9 (ovlivněné rozhraní .NET Core 1.1 a 2.1).

Visual Studio 2017 verze 15.9.59

Vydáno 9. ledna 2024

Problémy vyřešené v této verzi

  • Aktualizace MinGit na v2.43.0.1, která se dodává s OpenSSL v3.1.4 a řeší regresi, kdy síťové operace byly za určitých okolností opravdu pomalé.

Vyřešené informační zpravodaje zabezpečení

  • CVE-2024-20656 Ohrožení zabezpečení existuje ve službě VSStandardCollectorService150, kde mohou místní útočníci eskalovat oprávnění na hostitelích, kde je spuštěná ovlivněná instalace sady Microsoft Visual Studio.

Visual Studio 2017 verze 15.9.58

Vydáno 10. října 2023

Problémy vyřešené v této verzi

  • Abychom zlepšili spolehlivost poskytovatele rozhraní WMI instalačního programu sady Visual Studio, přesunuli jsme ho do vyhrazeného oboru názvů, kořene nebo cimv2/vs. Zabráníte tak konfliktům s jinými poskytovateli rozhraní WMI, kteří sdíleli stejný základní obor názvů, a zabráníme případům, kdy zprostředkovatel rozhraní WMI pro instalaci sady Visual Studio nezjistí Visual Studio.

Visual Studio 2017 verze 15.9.57

Vydáno 12. září 2023

Problémy vyřešené v této verzi

Vyřešené informační zpravodaje zabezpečení

  • CVE-2023-36796Tato aktualizace zabezpečení řeší chybu zabezpečení v DiaSymReader.dll při čtení poškozeného souboru PDB, který může vést ke vzdálenému spuštění kódu.
  • CVE-2023-36794Tato aktualizace zabezpečení řeší chybu zabezpečení v DiaSymReader.dll při čtení poškozeného souboru PDB, který může vést ke vzdálenému spuštění kódu.
  • CVE-2023-36793Tato aktualizace zabezpečení řeší chybu zabezpečení v DiaSymReader.dll při čtení poškozeného souboru PDB, který může vést ke vzdálenému spuštění kódu.
  • CVE-2023-36792Tato aktualizace zabezpečení řeší chybu zabezpečení v DiaSymReader.dll při čtení poškozeného souboru PDB, který může vést ke vzdálenému spuštění kódu.

Visual Studio 2017 verze 15.9.56

Vydáno 8. srpna 2023

Problémy vyřešené v této verzi

  • Vyřešili jsme problém, kdy všechny přepínače VSWhere nevracely instance v nespustíelném stavu.

Vyřešené informační zpravodaje zabezpečení

Visual Studio 2017 verze 15.9.55

Vydáno 13. června 2023

Problémy vyřešené v této verzi

  • V rámci této aktualizace řešíme CVE-2023-27909, CVE-2023-27910 a CVE-2023-27911, odebíráme .fbx a .dae podporu. Jedná se o komponentu x86 třetí strany, kterou už autor nepodporuje. Ovlivnění uživatelé by měli použít editor fbx.

Vyřešené informační zpravodaje zabezpečení

  • CVE-2023-24897 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio– Tato aktualizace zabezpečení řeší chybu zabezpečení v sadě MSDIA SDK, kde poškozené soubory PDB můžou způsobit přetečení haldy, což vede k chybovému ukončení nebo vzdálenému spuštění kódu.
  • CVE-2023-25652 Ohrožení zabezpečení spočívající v možnosti vzdáleného spuštění kódu v sadě Visual Studio Tato aktualizace zabezpečení řeší chybu zabezpečení, kdy speciálně vytvořený vstup pro použití Gitu může vést k řízeným zápisům obsahu v libovolných umístěních.
  • CVE-2023-25815 Visual Studio – Ohrožení zabezpečení z hlediska falšování identity – Tato aktualizace zabezpečení řeší chybu zabezpečení, kdy lokalizační zprávy GitHubu odkazují na pevně zakódovanou cestu místo toho, aby respektovaly předponu modulu runtime, která vede k nevázaných zápisům a chybovým ukončením paměti.
  • CVE-2023-29007 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio– Tato aktualizace zabezpečení řeší chybu zabezpečení, ve které konfigurační soubor obsahující chybu logiky způsobí injektáž libovolné konfigurace.
  • CVE-2023-29011 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu sady Visual Studio– Tato aktualizace zabezpečení řeší chybu zabezpečení, ve které je spustitelný soubor Gitu pro Windows zodpovědný za implementaci proxy serveru SOCKS5 náchylný k vyzvednutí nedůvěryhodné konfigurace na počítačích s více uživateli.
  • CVE-2023-29012 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio– Tato aktualizace zabezpečení řeší chybu zabezpečení, ve které program Git pro Windows Git CMD nesprávně hledá program při spuštění, což vede k tichému spuštění libovolného kódu.
  • CVE-2023-27909 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio – Tato aktualizace zabezpečení řeší chybu zabezpečení spočívající v zápisu mimo hranice v sadě Autodesk® FBX® SDK, kde verze 2020 nebo starší může vést ke spuštění kódu prostřednictvím škodlivých souborů FBX nebo zpřístupnění informací.
  • CVE-2023-27910 Ohrožení zabezpečení spočívající ve zpřístupnění informací v sadě Visual Studio Tato aktualizace zabezpečení řeší chybu zabezpečení, kdy může být uživatel zkomplikován otevření škodlivého souboru FBX, který může zneužít ohrožení zabezpečení spočívající v přetečení vyrovnávací paměti zásobníku v sadě Autodesk® FBX® SDK 2020 nebo před tím, než může vést ke vzdálenému spuštění kódu.
  • CVE-2023-27911 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio Tato aktualizace zabezpečení řeší chybu zabezpečení, kdy může být uživatel zkomplikován otevření škodlivého souboru FBX, který může zneužít ohrožení zabezpečení přetečení vyrovnávací paměti haldy v sadě Autodesk® FBX® SDK 2020 nebo před tím, což může vést ke vzdálenému spuštění kódu.
  • CVE-2023-33139 Ohrožení zabezpečení spočívající ve zpřístupnění informací v sadě Visual Studio– Tato aktualizace zabezpečení řeší chybu zabezpečení OOB, kde analyzátor souborů obj v sadě Visual Studios vede ke zpřístupnění informací.

Visual Studio 2017 verze 15.9.54

Vydáno 11. dubna 2023

Chyby opravené ve verzi 15.9.54

  • Opravili jsme problém ve službě IIS Express, který mohl způsobit chybové ukončení při aktualizaci telemetrických dat.

Komunita vývojářů

Vyřešené informační zpravodaje zabezpečení

Visual Studio 2017 verze 15.9.53

Vydáno 14. března 2023

Chyby opravené ve verzi 15.9.53

  • Git 2.39 přejmenoval hodnotu pro credential.helper z "manager-core" na "manager". Další informace naleznete v tématu https://aka.ms/gcm/rename.
  • Aktualizace balíčku mingit a Git pro Windows na verzi 2.39.2, který řeší CVE-2023-22490

Vyřešené informační zpravodaje zabezpečení

Visual Studio 2017 verze 15.9.52

Vydáno 14. února 2023

Chyby opravené ve verzi 15.9.52

  • Aktualizace balíčku mingit a Git pro Windows na verzi 2.39.1.1, který řeší CVE-2022-41903

Vyřešené informační zpravodaje zabezpečení

Visual Studio 2017 verze 15.9.51

Vydáno 8. listopadu 2022

Chyby opravené ve verzi 15.9.51

  • Správci budou moct aktualizovat instalační program VS na offline klientském počítači z rozložení bez aktualizace VS.

Vyřešené informační zpravodaje zabezpečení

Visual Studio 2017 verze 15.9.50

Vydáno 9. srpna 2022

Chyby opravené ve verzi 15.9.50

  • Aktualizuje Git pro Windows na verzi 2.37.1.1, která řeší CVE-2022-31012.

Vyřešené informační zpravodaje zabezpečení

Visual Studio 2017 verze 15.9.49

Vydáno 14. června 2022

Vyřešené informační zpravodaje zabezpečení

  • CVE-2022-24513 Ohrožení zabezpečení spočívající ve zvýšení oprávnění Ohrožení zabezpečení z hlediska možného zvýšení oprávnění existuje, když služba aktualizátoru sady Microsoft Visual Studio nesprávně parsuje místní konfigurační data.

Visual Studio 2017 verze 15.9.48

Vydáno 10. května 2022

Chyby opravené ve verzi 15.9.48

  • Aktualizace Verze Gitu pro Windows využívaná sadou Visual Studio a instalovatelná volitelná komponenta na verzi 2.36.0.1
  • Opravili jsme problém s integrací Gitu, kdy se při načítání nebo synchronizaci větví, které se rozbíhají, nezobrazovat lokalizovaný tip k jeho vyřešení.

Vyřešené informační zpravodaje zabezpečení

CVE-2022-29148 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio existuje, když nesprávně zpracovává objekty v paměti. Pokud útočník toto slabé místo využije, může v kontextu aktuálního uživatele spustit libovolný kód.

CVE-2022-24513 Ohrožení zabezpečení spočívající ve zvýšení oprávnění Ohrožení zabezpečení z hlediska možného zvýšení oprávnění existuje, když služba aktualizátoru sady Microsoft Visual Studio nesprávně parsuje místní konfigurační data.

Visual Studio 2017 verze 15.9.47

Vydáno 19. dubna 2022

Chyby opravené ve verzi 15.9.47

  • Opravili jsme vctip.exe regresi z 15.9.46.

Visual Studio 2017 verze 15.9.46

Vydáno 12. dubna 2022

Chyby opravené ve verzi 15.9.46

Vyřešené informační zpravodaje zabezpečení

CVE-2022-24765 Ohrožení zabezpečení spočívající ve zvýšení oprávnění Ohrožení zabezpečení spočívající v možném zvýšení oprávnění existuje v Gitu pro Windows, ve kterém by operace Gitu mohly běžet mimo úložiště při zařaování adresáře Git. Git pro Windows se teď aktualizuje na verzi 2.35.2.1.

CVE-2022-24767 DLL napadení ohrožení zabezpečení A potenciální ohrožení zabezpečení knihovny DLL napadení v Instalační službě systému Git pro Windows existuje při spuštění odinstalátoru pod uživatelským účtem SYSTEM. Git pro Windows se teď aktualizuje na verzi 2.35.2.1.

CVE-2022-24513 Ohrožení zabezpečení spočívající ve zvýšení oprávnění Ohrožení zabezpečení z hlediska možného zvýšení oprávnění existuje, když služba aktualizátoru sady Microsoft Visual Studio nesprávně parsuje místní konfigurační data.

Visual Studio 2017 verze 15.9.45

Vydáno 8. března 2022

Chyby opravené ve verzi 15.9.45

Vyřešené informační zpravodaje zabezpečení

CVE-2021-3711 Ohrožení zabezpečení přetečení vyrovnávací paměti OpenSSL Ohrožení zabezpečení spočívající v přetečení vyrovnávací paměti existuje v OpenSSL, které využívá Git pro Windows. Git pro Windows je teď aktualizovaný na verzi 2.35.1.2, která tento problém řeší.

Visual Studio 2017 verze 15.9.44

Vydáno 8. února 2022

Chyby opravené ve verzi 15.9.44

Vyřešené informační zpravodaje zabezpečení

CVE-2022-21871 Ohrožení zabezpečení z hlediska zvýšení oprávnění standardního kolektoru diagnostického centra ohrožení zabezpečení Spočívající v ohrožení zabezpečení spočívající ve zvýšení oprávnění, pokud standardní kolektor diagnostického centra nesprávně zpracovává operace s daty

Nová ikona vydání 15.9.43Visual Studio 2017 verze 15.9.43

Vydáno 11. ledna 2022

Chyby opravené ve verzi 15.9.43

  • Opravili jsme problém s nemožností ladit aplikace vícekrát, když se Terminál Windows používal jako výchozí terminál.
  • Opravili jsme problém, který bránil klientovi v aktualizaci aktuálnějšího bootstrapperu. Jakmile klient používá bootstrapper a instalační program, který odeslal leden 2022 nebo novější, měly by všechny aktualizace používající následné bootstrappery fungovat po dobu trvání životního cyklu produktu.

Nová ikona vydání 15.9.42Visual Studio 2017 verze 15.9.42

Vydáno 14. prosince 2021

Chyby opravené ve verzi 15.9.42

  • Označení CPython 3.6.6 jako nedostatek podpory kvůli ohrožení zabezpečení

Nová ikona vydání 15.9.41Visual Studio 2017 verze 15.9.41

Vydáno 9. listopadu 2021

Chyby opravené ve verzi 15.9.41

Vyřešené informační zpravodaje zabezpečení

CVE-2021-42319 Ohrožení zabezpečení spočívající ve zvýšení oprávnění Ohrožení zabezpečení spočívající ve zvýšení oprávnění existuje ve zprostředkovateli rozhraní WMI, který je součástí instalačního programu sady Visual Studio.

CVE-2021-42277 Ohrožení zabezpečení z hlediska zvýšení oprávnění standardního kolektoru diagnostického centra ohrožení zabezpečení z hlediska zvýšení oprávnění existuje, když standardní kolektor diagnostického centra nesprávně zpracovává operace se soubory.

Nová ikona vydání 15.9.40Visual Studio 2017 verze 15.9.40

Vydáno 12. října 2021

Chyby opravené ve verzi 15.9.40

Vyřešené informační zpravodaje zabezpečení

CVE-2020-1971 OpenSSL Denial of Service Vulnerability Potential Denial of Service v knihovně OpenSSL, kterou využívá Git.

CVE-2021-3449 OpenSSL Denial of Service Vulnerability Potential Denial of Service v knihovně OpenSSL, kterou využívá Git.

CVE-2021-3450 OpenSSL Potenciální obejití X509_V_FLAG_X509_STRICT příznaku A potenciální obejití příznaku v knihovně OpenSSL, kterou využívá Git.

Nová ikona vydání 15.9.39Visual Studio 2017 verze 15.9.39

Vydáno 14. září 2021

Chyby opravené ve verzi 15.9.39

  • Při použití položky nabídky Nástroje –> Získat nástroje a funkce v sadě Visual Studio by došlo k chybě s oznámením, že Instalační program pro Visual Studio nebylo nalezeno. Tato oprava umožňuje sadě Visual Studio správně vyhledat umístění instalačního programu.

Vyřešené informační zpravodaje zabezpečení

CVE-2021-26434 Visual Studio – Ohrožení zabezpečení Spočívající v ohrožení zabezpečení z hlediska oprávnění Přiřazování oprávnění: Ohrožení zabezpečení přiřazení oprávnění K přiřazení oprávnění v sadě Visual Studio existuje po instalaci vývoje her pomocí C++ a výběru úlohy instalačního programu unreal Engine Installer. Systém je během instalace zranitelný vůči LPE, vytvoří adresář s přístupem k zápisu všem uživatelům.

CVE-2021-36952 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio existuje, když nesprávně zpracovává objekty v paměti. Pokud útočník toto slabé místo využije, může v kontextu aktuálního uživatele spustit libovolný kód.

Ikona nové verze 15.9.38Visual Studio 2017 verze 15.9.38

Vydáno 10. srpna 2021

Chyby opravené ve verzi 15.9.38

  • Opravili jsme problém, který ovlivnil provádění příkazu update příkazového řádku. Pokud aktualizace selže poprvé, následné vydání příkazu update teď způsobí, že aktualizace obnoví předchozí operaci, kde skončila.

Vyřešené informační zpravodaje zabezpečení

CVE-2021-26423 .NET Core – Ohrožení zabezpečení z důvodu odepření služby

Existuje ohrožení zabezpečení spočívající v odepření služby, kdy se serverové aplikace .NET (Core) poskytující koncové body WebSocketu můžou oklamat do nekonečné smyčky při pokusu o čtení jednoho rámce WebSocket.

CVE-2021-34485 .NET Core – Ohrožení zabezpečení spočívající ve zpřístupnění informací

Ohrožení zabezpečení spočívající ve zpřístupnění informací existuje, když se vytvoří výpisy paměti vytvořené nástrojem pro shromažďování výpisů stavu systému a výpisů paměti na vyžádání s globálními oprávněními ke čtení v Linuxu a macOS.

CVE-2021-34532 ASP.NET ohrožení zabezpečení spočívající ve zpřístupnění základních informací

V případě, že není možné analyzovat token JWT, existuje ohrožení zabezpečení spočívající ve zpřístupnění informací.

Ikona nové verze 15.9.37Visual Studio 2017 verze 15.9.37

Vydáno 13. července 2021

Chyby opravené ve verzi 15.9.37

  • Opravili jsme vytvoření offline instalačního rozložení sady Visual Studio 2017 obsahující sadu funkcí Vývoj her s Unity a volitelnou komponentu Unity Editoru z Číny.

Nová ikona vydání 15.9.36Visual Studio 2017 verze 15.9.36

Vydáno 11. května 2021

Chyby opravené ve verzi 15.9.36

  • Opravili jsme problém způsobující selhání aktualizací, když správce vytvořil nové rozložení sady Visual Studio pro nasazování aktualizací. Aktualizace klientského počítače selže, protože rozložení přesunulo umístění.

Nová ikona vydané verze 15.9.35Visual Studio 2017 verze 15.9.35

Vydáno 13. dubna 2021

Chyby opravené ve verzi 15.9.35

Vyřešené informační zpravodaje zabezpečení

CVE-2021-27064 Instalační program pro Visual Studio ohrožení zabezpečení z hlediska zvýšení oprávnění

Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu existuje, když instalační program sady Visual Studio spustí klienta zpětné vazby ve stavu se zvýšenými oprávněními.

CVE-2021-28313 / CVE-2021-28321 / CVE-2021-28322 Ohrožení zabezpečení spočívající ve zvýšení oprávnění služby standardního kolektoru diagnostického centra

Ve standardním kolektoru diagnostického centra může existovat ohrožení zabezpečení z důvodu možného zvýšení oprávnění při nesprávně provedených operacích s daty.

Nová ikona vydání 15.9.34Visual Studio 2017 verze 15.9.34

Vydáno 9. března 2021

Chyby opravené ve verzi 15.9.34

Vyřešené informační zpravodaje zabezpečení

CVE-2021-21300 Git for Visual Studio – Ohrožení zabezpečení z důvodu možnosti vzdáleného spuštění kódu

V případě, že Visual Studio naklonuje škodlivé úložiště, vznikne ohrožení zabezpečení spočívající v možnosti vzdáleného spuštění kódu.

CVE-2021-26701 .NET Core – Ohrožení zabezpečení z důvodu možnosti vzdáleného spuštění kódu

V .NET 5 a .NET Core existuje ohrožení zabezpečení vzdáleného spuštění kódu kvůli tomu, jak se provádí kódování textu.

Ikona nové verze 15.9.33Visual Studio 2017 verze 15.9.33

Vydáno 10. února 2021

Chyby opravené ve verzi 15.9.33

Nová ikona vydání 15.9.32Visual Studio 2017 verze 15.9.32

Vydáno 9. února 2021

Chyby opravené ve verzi 15.9.32

Vyřešené informační zpravodaje zabezpečení

CVE-2021-1639 – Ohrožení zabezpečení z hlediska vzdáleného spuštění kódu službou TypeScript Language Service

Při načítání škodlivého úložiště obsahujícího soubory kódu JavaScriptu nebo TypeScriptu existuje ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu sady Visual Studio.

CVE-2021-1721 .NET Core – Ohrožení zabezpečení z důvodu odepření služby

Při vytváření webové žádosti HTTPS během sestavování řetězu certifikátů X509 existuje ohrožení zabezpečení z hlediska odepření služby.

CVE-2021-24112 .NET 5 a .NET Core – ohrožení zabezpečení z důvodu možnosti vzdáleného spuštění kódu

Při odstraňování metasouborů existuje ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu, když na něj stále existuje grafické rozhraní. Toto ohrožení zabezpečení existuje pouze v systémech se systémem MacOS nebo Linux.

Nová ikona vydání 15.9.31 Visual Studio 2017 verze 15.9.31

Vydáno 12. ledna 2021

Chyby opravené ve verzi 15.9.31

Vyřešené informační zpravodaje zabezpečení

CVE-2021-1651 / CVE-2021-1680 Ohrožení zabezpečení z hlediska zvýšení oprávnění standardního kolektoru diagnostického centra

Ve standardním kolektoru diagnostického centra může existovat ohrožení zabezpečení z důvodu možného zvýšení oprávnění při nesprávně provedených operacích s daty.

CVE-2020-26870 Instalační program pro Visual Studio ohrožení zabezpečení z hlediska možnosti vzdáleného spuštění kódu

Pokud se Instalační program pro Visual Studio pokusí zobrazit škodlivý markdown, může dojít k ohrožení zabezpečení při vzdáleném spuštění kódu.

Nová ikona vydané verze 15.9.30 Visual Studio 2017 verze 15.9.30

Vydáno 8. prosince 2020

Chyby opravené ve verzi 15.9.30

  • Byl opraven problém, kdy docházelo k selhání kompilátoru C++ při kompilování volání do funkce, která přijímá obecné argumenty v C++/CLI.

Vyřešené informační zpravodaje zabezpečení

CVE-2020-17156 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio

V případě, že Visual Studio naklonuje škodlivé úložiště, vznikne ohrožení zabezpečení spočívající v možnosti vzdáleného spuštění kódu.

Nová ikona vydání 15.9.29Visual Studio 2017 verze 15.9.29

Vydáno 20. listopadu 2020

Chyby opravené ve verzi 15.9.29

Vyřešené informační zpravodaje zabezpečení

CVE-2020-17100 Ohrožení zabezpečení spočívající v manipulaci se sadou Visual Studio

K tomuto ohrožení zabezpečení z důvodu možných neoprávněných úprav dochází, když nástroje Python Tools for Visual Studio vytvoří složku python27. Pokud by útočník toto slabé místo využil, mohl by spouštět procesy v kontextu se zvýšenými oprávněními.

Nová ikona vydané verze 15.9.28Visual Studio 2017 verze 15.9.28

Vydáno 13. října 2020

Chyby opravené ve verzi 15.9.28

  • Sada .NET Core SDK 2.1.519 byla aktualizována na stejnou verzi jako v sadě Visual Studio 2019.

Nová ikona vydání 15.9.27Visual Studio 2017 verze 15.9.27

Vydáno 8. září 2020

Chyby opravené ve verzi 15.9.27

  • Nepodporované verze rozhraní .NET Core se už nebudou při opravě nebo upgradu znovu instalovat, pokud byly odebrány mimo instalační program sady VS.

Vyřešené informační zpravodaje zabezpečení

CVE-2020-1130 Ohrožení zabezpečení z hlediska zvýšení oprávnění standardního kolektoru diagnostického centra

Ve standardním kolektoru diagnostického centra může být ohrožené zabezpečení z důvodu možného zvýšení oprávnění při nesprávně provedených operacích s daty. Pokud by útočník toto slabé místo využil, mohl by spouštět procesy v kontextu se zvýšenými oprávněními.

CVE-2020-1133 Ohrožení zabezpečení z hlediska zvýšení oprávnění standardního kolektoru diagnostického centra

Ve standardním kolektoru diagnostického centra může být ohrožené zabezpečení z důvodu možného zvýšení oprávnění při nesprávně provedených operacích se soubory. Pokud by útočník toto slabé místo využil, mohl by spouštět procesy v kontextu se zvýšenými oprávněními.

CVE-2020-16856 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio

V sadě Visual Studio může být ohrožené zabezpečení při vzdáleném spouštění kódu z důvodu nesprávně zpracovaných objektů v paměti. Pokud útočník toto slabé místo využije, může v kontextu aktuálního uživatele spustit libovolný kód.

CVE-2020-16874 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio

V sadě Visual Studio může být ohrožené zabezpečení při vzdáleném spouštění kódu z důvodu nesprávně zpracovaných objektů v paměti. Pokud útočník toto slabé místo využije, může v kontextu aktuálního uživatele spustit libovolný kód.

CVE-2020-1045 Microsoft ASP.NET Ohrožení zabezpečení z hlediska obejití základní funkce zabezpečení

Ve způsobu, jakým Microsoft ASP.NET Core analyzuje kódované názvy souborů cookie, se vyskytuje ohrožení zabezpečení z důvodu obejití funkce zabezpečení. Analyzátor souborů cookie ASP.NET Core dekóduje celé řetězce souborů cookie, což může útočníkům umožnit nastavit druhý soubor cookie s názvem kódovaným v URL.

Nová ikona vydané verze 15.9.26Visual Studio 2017 verze 15.9.26

Vydáno 11. srpna 2020

Chyby opravené ve verzi 15.9.26

Vyřešené informační zpravodaje zabezpečení

CVE-2020-1597 ASP.NET ohrožení zabezpečení spočívající v útoku DoS (Core Denial of Service)

Existuje ohrožení zabezpečení v podobě útoku DoS, když rozhraní ASP.NET Core nesprávně zpracovává webové žádosti. Útočník, který tuto chybu zabezpečení úspěšně zneužije, by mohl provést útok DoS na webovou aplikaci ASP.NET Core. Tuto chybu může zneužít vzdáleně, bez ověřování.

Nová ikona vydání 15.9.25Visual Studio 2017 verze 15.9.25

Vydáno 14. července 2020

Chyby opravené ve verzi 15.9.25

Vyřešené informační zpravodaje zabezpečení

CVE-2020-1393 Ohrožení zabezpečení z hlediska zvýšení oprávnění služby standardního kolektoru diagnostického centra

K ohrožení zabezpečení způsobenému zvýšením oprávnění dojde, když se standardní službě kolektoru diagnostického centra Windows nepodaří správně ošetřit vstup, což vede k nezabezpečenému chování při načítání knihovny.

CVE-2020-1416 Ohrožení zabezpečení spočívající ve zvýšení oprávnění v sadě Visual Studio

Při načítání softwarových závislostí existuje v aplikaci Visual Studio ohrožení zabezpečení v podobě zvýšené úrovně oprávnění. Pokud místní útočník toto slabé místo využije, může v kontextu aktuálního uživatele vložit a spustit libovolný kód.

CVE-2020-1147 Ohrožení zabezpečení z důvodu odepření služby v .NET Core

Vzdálený neověřený útočník by mohl zneužít toto ohrožení zabezpečení tak, že vydá speciálně vytvořené požadavky na aplikaci ASP.NET Core nebo na jinou aplikaci, která parsuje určité typy XML. Aktualizace zabezpečení řeší toto ohrožení zabezpečení tím, že omezuje typy, které se můžou nacházet v datové části XML.

Nová ikona vydání 15.9.24Visual Studio 2017 verze 15.9.24

Vydáno 2. června 2020

Chyby opravené ve verzi 15.9.24

  • Opravili jsme chybu s chybějícími importy v linkeru C++ při použití zastřešujících knihoven s rozdílem velikosti písmen v příponě názvu knihovny DLL.
  • Opravili jsme chybu v kompilátoru C++ pro ARM64, kdy se po setjmp mohly obnovit nesprávné hodnoty.
  • Byla opravena chyba kompilátoru C++, aby se správně skládaly dynamické inicializátory vložených proměnných.
  • Provedli jsme změnu umožňující podnikovým správcům IT a technickým pracovníkům starajícím se o nasazení nakonfigurovat nástroje, jako jsou klient služby Microsoft Update a SCCM, aby mohli určit použitelnost aktualizací sady VS2017 hostovaných v katalogu služby Microsoft Update a ve službě WSUS.

Vyřešené informační zpravodaje zabezpečení

CVE-2020-1202 / CVE-2020-1203Ohrožení zabezpečení z hlediska zvýšení oprávnění služby standardního kolektoru diagnostického centra

Existuje ohrožení zabezpečení způsobené zvýšením oprávnění, ke kterému dochází, když standardní kolektor diagnostického centra nebo standardní kolektor sady Visual Studio nedokáže správně zpracovat objekty v paměti.

CVE-2020-1293 / CVE-2020-1278 / CVE-2020-1257 Ohrožení zabezpečení z hlediska zvýšení oprávnění služby standardního kolektoru diagnostického centra

Ve službě standardního kolektoru diagnostického centra může být ohroženo zabezpečení z důvodu zvýšení oprávnění při nesprávně provedených operacích se soubory.

CVE-2020-1108 / CVE-2020-1108 / CVE-2020-1108 Ohrožení zabezpečení z důvodu útoku do služby .NET Core

Za účelem komplexního řešení ohrožení zabezpečení CVE-2020-1108 vydala společnost Microsoft aktualizace pro rozhraní .NET Core 2.1 a .NET Core 3.1. Zákazníci, kteří používají kteroukoli z těchto verzí rozhraní .NET Core, by si měli nainstalovat nejnovější verzi rozhraní .NET Core. Nejnovější čísla verzí a pokyny k aktualizaci rozhraní .NET Core najdete v poznámkách k verzi.

Ikona nové verze 15.9.23Visual Studio 2017 verze 15.9.23

Vydáno 12. května 2020

Chyby opravené ve verzi 15.9.23

  • Byla opravena chyba kompilátoru C++, aby se správně skládaly dynamické inicializátory vložených proměnných. Přesunuto z vydané verze VS 2019 16.0.
  • Vylepšili jsme zabezpečení v souboru vctip.exe.
  • Provedli jsme změnu umožňující podnikovým správcům IT a technickým pracovníkům nasazení konfigurovat nástroje, jako je klient služby Microsoft Update a SCCM, aby mohli určit použitelnost aktualizací sady VS2017 hostované v Katalogu služby Microsoft Update a ve službě WSUS.

Vyřešené informační zpravodaje zabezpečení

CVE-2020-1108 – Ohrožení zabezpečení z důvodu odepření služby v .NET Core

Vzdálený neověřený útočník by mohl zneužít tuto chybu zabezpečení tak, že vydá speciálně vytvořené požadavky na aplikaci .NET Core. Tato aktualizace zabezpečení řeší toto ohrožení zabezpečení tím, že opravuje způsob, jakým webová aplikace .NET Core zpracovává webové žádosti.

Nová ikona vydání 15.9.22Visual Studio 2017 verze 15.9.22

Vydáno 14. dubna 2020

Chyby opravené ve verzi 15.9.22

Vyřešené informační zpravodaje zabezpečení

CVE-2020-0899 Ohrožení zabezpečení spočívající ve zvýšení oprávnění v sadě Microsoft Visual Studio

K ohrožení zabezpečení spočívajícímu v možnosti zvýšit úroveň oprávnění dojde, když aktualizační služba sady Microsoft Visual Studio nesprávně zpracuje oprávnění souboru. Pokud útočník toto slabé místo využije, mohl by přepsat obsah libovolného souboru v kontextu zabezpečení místního systému.

CVE-2020-0900 Ohrožení zabezpečení spočívající v možnosti zvýšit úroveň oprávnění služby pro instalaci rozšíření sady Visual Studio

K ohrožení zabezpečení spočívajícímu v možnosti zvýšit úroveň oprávnění dojde, když služba pro instalaci rozšíření sady Visual Studio nesprávně zpracuje operace se soubory. Pokud útočník toto slabé místo využije, mohl by pomocí zvýšených oprávnění odstraňovat soubory v libovolných umístěních.

CVE-2020-5260 Ohrožení zabezpečení spočívající v úniku přihlašovacích údajů v Gitu pro Visual Studio z důvodu nedostatečného ověřování adres URL

K ohrožení zabezpečení spočívajícímu v úniku přihlašovacích údajů dojde při parsování a odesílání speciálně vytvořených adres URL do pomocných rutin přihlašovacích údajů. To může vést k tomu, že se přihlašovací údaje pošlou nesprávnému hostiteli.

Nová ikona vydání 15.9.21Visual Studio 2017 verze 15.9.21

Vydáno 10. března 2020

Chyby opravené ve verzi 15.9.21

Vyřešené informační zpravodaje zabezpečení

CVE-2020-0793 / CVE-2020-0810 Ohrožení zabezpečení z hlediska zvýšení oprávnění služby standardního kolektoru diagnostického centra

K ohrožení zabezpečení způsobenému zvýšením oprávnění dojde, když standardní kolektor diagnostického centra nesprávně zpracuje souborové operace nebo když se standardní službě kolektoru diagnostického centra Windows nepodaří správně ošetřit vstup.

CVE-2020-0884 Ohrožení zabezpečení způsobené falšováním identity při vytváření webového doplňku Outlooku

K ohrožení zabezpečení způsobenému falšováním identity dojde, pokud je při vytváření webového doplňku Outlooku povolené vícefaktorové ověřování.

Nová ikona vydané verze 15.9.20Visual Studio 2017 verze 15.9.20

Vydáno 11. února 2020

Chyby opravené ve verzi 15.9.20

  • Chyba konfigurace testu SQL Serveru
  • Opravili jsme chybu v průzkumníku objektů SQL Serveru, která způsobovala chybové ukončení, když uživatelé řadili data v tabulce.

Nová ikona vydané verze 15.9.19Visual Studio 2017 verze 15.9.19

Vydáno 14. ledna 2020

Chyby opravené ve verzi 15.9.19

  • Opravili jsme problém v optimalizátoru C++, kdy u volajícího nebyl správně zohledněn dopad zápisu do neznámé paměti uvnitř volání.

Vyřešené informační zpravodaje zabezpečení

CVE-2020-0602 ASP.NET ohrožení zabezpečení spočívající v útoku DoS (Core Denial of Service)

Vzdálený neověřený útočník by mohl zneužít tuto chybu zabezpečení tak, že vydá speciálně vytvořené požadavky na aplikaci ASP.NET Core. Tato aktualizace zabezpečení řeší toto ohrožení zabezpečení tím, že opravuje způsob, jakým webová aplikace ASP.NET Core zpracovává webové žádosti.

CVE-2020-0603 Ohrožení zabezpečení z důvodu možnosti vzdáleného spuštění kódu v rozhraní ASP.NET

Vzdálený neověřený útočník by mohl zneužít tuto chybu zabezpečení tak, že vydá speciálně vytvořené požadavky na aplikaci ASP.NET Core. Tato aktualizace zabezpečení řeší toto ohrožení zabezpečení tím, že opravuje způsob, jakým webová aplikace ASP.NET Core zpracovává žádosti v paměti.

Nová ikona vydání 15.9.18Visual Studio 2017 verze 15.9.18

vydáno 10. prosince 2019

Chyby opravené ve verzi 15.9.18

  • V sadě Visual Studio může být k dispozici možnost zmírnění chybového ukončení souvisejícího se sledováním jednotlivých monitorů.

Vyřešené informační zpravodaje zabezpečení

CVE-2019-1349 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu přes Git pro Visual Studio kvůli příliš laxním omezením u názvů dílčích modulů

Bylo zjištěno ohrožení zabezpečení spočívající v možnosti vzdáleně spustit kód, které může vzniknout, když Git narazí na kolizi názvů u adresářů dílčích modulů na stejné úrovni. Pokud by útočník toto slabé místo úspěšně zneužil, mohl by na cílovém počítači vzdáleně spustit kód. Aktualizace zabezpečení tuto chybu zabezpečení řeší tím, že přechází na novou verzi systému Git pro Windows, která vyžaduje, aby byl adresář pro klon dílčích modulů prázdný.

CVE-2019-1350 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu přes Git pro Visual Studio kvůli nesprávnému uvozování argumentů příkazového řádku

Bylo zjištěno ohrožení zabezpečení spočívající v možnosti vzdáleně spustit kód, které může vzniknout, když Git interpretuje argumenty příkazového řádku s určitými uvozovkami během rekurzivního klonování ve spojení s adresami URL SSH. Pokud by útočník toto slabé místo úspěšně zneužil, mohl by na cílovém počítači vzdáleně spustit kód. Aktualizace zabezpečení tuto chybu zabezpečení řeší tím, že přechází na novou verzi systému Git pro Windows, v níž je tento problém opraven.

CVE-2019-1351 Ohrožení zabezpečení spočívající v přepisu libovolných souborů přes Git pro Visual Studio kvůli použití názvů jednotek bez písmen během klonování

V systému Git bylo zjištěno ohrožení zabezpečení spočívající v možnosti přepsat libovolné soubory, když názvy jednotek bez písmen obejdou kontroly zabezpečení v příkazu git clone. Pokud by útočník toto slabé místo úspěšně zneužil, mohl by na cílovém počítači zapisovat do libovolných souborů. Aktualizace zabezpečení tuto chybu zabezpečení řeší tím, že přechází na novou verzi systému Git pro Windows, v níž je tento problém opraven.

CVE-2019-1352 Git for Visual Studio Remote Excecution Vulnerability kvůli nečekanosti alternativního datového streamu NTFS

V systému Git bylo zjištěno ohrožení zabezpečení spočívající v možnosti vzdáleně spustit kód při klonování a zápisu do adresáře .git/ prostřednictvím alternativních datových proudů NTFS. Pokud by útočník toto slabé místo úspěšně zneužil, mohl by na cílovém počítači vzdáleně spustit kód. Aktualizace zabezpečení tuto chybu zabezpečení řeší tím, že přechází na novou verzi systému Git pro Windows, ve které je sledování alternativních datových proudů NTFS už nastaveno.

CVE-2019-1354 Ohrožení zabezpečení spočívající v přepisu libovolných souborů přes Git pro Visual Studio kvůli neodmítnutí vypsat sledované soubory obsahující zpětná lomítka

V systému Git bylo zjištěno ohrožení zabezpečení spočívající v možnosti přepsat libovolné soubory, kdyby se položky stromu se zpětnými lomítky a škodlivými symbolickými odkazy mohly vydělit z pracovního stromu. Pokud by útočník toto slabé místo úspěšně zneužil, mohl by na cílovém počítači zapisovat do libovolných souborů. Aktualizace zabezpečení tuto chybu zabezpečení řeší tím, že přechází na novou verzi systému Git pro Windows, která takové použití zpětných lomítek nepovoluje.

CVE-2019-1387 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu přes Git pro Visual Studio kvůli příliš laxnímu ověřování názvů dílčích modulů v rekurzivních klonech

V systému Git bylo zjištěno ohrožení zabezpečení spočívající v možnosti vzdáleně spustit kód při rekurzivním klonování s dílčími moduly. Pokud by útočník toto slabé místo úspěšně zneužil, mohl by na cílovém počítači vzdáleně spustit kód. Aktualizace zabezpečení tuto chybu zabezpečení řeší tím, že přechází na novou verzi systému Git pro Windows, která ověřování názvů dílčích modulů zpřísňuje.

Ikona nové verze 15.9.17Visual Studio 2017 verze 15.9.17

Vydáno 15. října 2019

Vyřešené informační zpravodaje zabezpečení

CVE-2019-1425Ohrožení zabezpečení spočívající v možnosti zvýšit úroveň oprávnění balíčku NPM (publikováno 12. listopadu 2019)

Existuje ohrožení zabezpečení v podobě možného zvýšení oprávnění v případě, že se sadě Visual Studio nepovede správně ověřit pevné odkazy při extrahování archivovaných souborů. Ohrožení zabezpečení vzniklo používáním balíčků NPM v sadě Visual Studio, jak je popsáno v následujících dvou informačních zpravodajích zabezpečení k NPM: npmjs.com/advisories/803 a npmjs.com/advisories/886. V této verzi sady Visual Studio byly zahrnuty aktualizované verze těchto balíčků NPM.

Ikona nové verze 15.9.16Visual Studio 2017 verze 15.9.16

Vydáno 10. září 2019

Chyby opravené ve verzi 15.9.16

Vyřešené informační zpravodaje zabezpečení

CVE-2019-1232 Ohrožení zabezpečení z důvodu možného zvýšení oprávnění služby standardního kolektoru diagnostického centra

Při nesprávném zosobnění určitých operacích se soubory ve službě standardního kolektoru diagnostického centra může být ohroženo zabezpečení z důvodu zvýšení oprávnění. Pokud útočník toto slabé místo využije, může získat zvýšená oprávnění. Útočník, který neoprávněně získá přístup k systému, by mohl tuto chybu zabezpečení zneužít. Tato aktualizace zabezpečení řeší ohrožení řádným zosobněním při operacích se soubory ve službě standardního kolektoru diagnostického centra.

CVE-2019-1301 Ohrožení zabezpečení v .NET Core v podobě útoku DoS

K výskytu ohrožení zabezpečení v podobě útoku DoS dochází, když rozhraní .NET Core nesprávně zpracovává webové žádosti. Útočník, který tuto chybu zabezpečení úspěšně zneužije, by mohl provést útok DoS na webovou aplikaci .NET Core. Tuto chybu může zneužít vzdáleně, bez ověřování.

Aktualizace řeší toto ohrožení zabezpečení tím, že opravuje způsob, jakým webová aplikace .NET Core zpracovává webové žádosti.

Nová ikona vydané verze 15.9.15Visual Studio 2017 verze 15.9.15

Vydáno 13. srpna 2019

Chyby opravené ve verzi 15.9.15

Vyřešené informační zpravodaje zabezpečení

CVE-2019-1211 Ohrožení zabezpečení spočívající v možnosti zvýšit úroveň oprávnění v Gitu pro Visual Studio

V Gitu pro Visual Studio bylo zjištěno ohrožení zabezpečení spočívající v možnosti zvýšit úroveň oprávnění, a to v případě nesprávné analýzy konfiguračních souborů. Pokud by útočník toto slabé místo zneužil, mohl by spustit kód v kontextu jiného místního uživatele. Pokud by chtěl útočník tuto chybu zabezpečení zneužít, musel by po svém ověření a před úplnou instalací aplikace změnit v systému konfigurační soubory pro Git. Pak by musel přesvědčit jiného uživatele systému, aby spustil konkrétní příkazy Gitu. Tato aktualizace popsaný problém řeší změnou oprávnění nutných k úpravě konfiguračních souborů.

Nová ikona vydání 15.9.14Visual Studio 2017 verze 15.9.14

Vydáno 9. července 2019

Chyby opravené ve verzi 15.9.14

Vyřešené informační zpravodaje zabezpečení

CVE-2019-1075: Ohrožení zabezpečení z důvodu falšování identity v ASP.NET Core

V tento den byly vydány aktualizace pro .NET Core, které jsou součástí uvedené aktualizace sady Visual Studio. Tato verze odstraňuje problémy se zabezpečením a řeší další důležité aspekty. Podrobnosti najdete v poznámkách k verzi .NET Core.

CVE-2019-1077: Ohrožení zabezpečení při automatické aktualizaci rozšíření sady Visual Studio

Při určitých nesprávně provedených operacích se soubory v procesu automatické aktualizace rozšíření sady Visual Studio může být ohroženo zabezpečení z důvodu zvýšení oprávnění. Pokud útočník toto slabé místo využije, může odstraňovat soubory v umístěních podle vlastního uvážení. Útočník může ohrozit zabezpečení tím, že neoprávněně získá přístup k systému. Tato aktualizace zabezpečení řeší toto ohrožení zabezpečením míst, ve kterých automatická aktualizace rozšíření sady Visual Studio provádí operace se soubory.

CVE-2019-1113: Deserializace souboru XOML v Návrháři postupu provádění umožňuje provádění kódu

Soubor XOML odkazující na různé typy mohl při otevření v sadě Visual Studio způsobovat provádění náhodného kódu. Typy, které lze v souborech XOML používat, jsou nyní omezené. Při otevření souboru XOML s jedním z neoprávněných typů se nově zobrazí zpráva, která uživatele o takovém typu informuje.

Další informace najdete na https://support.microsoft.com/help/4512190/remote-code-execution-vulnerability-if-types-are-specified-in-xoml.

Ikona nové verze 15.9.13Visual Studio 2017 verze 15.9.13

Vydáno 11. června 2019

Chyby opravené ve verzi 15.9.13

Nová ikona vydání 15.9.12Visual Studio 2017 verze 15.9.12

Vydáno 14. května 2019

Chyby opravené ve verzi 15.9.12

Vyřešené informační zpravodaje zabezpečení

CVE-2019-0727 Ohrožení zabezpečení z důvodu možného zvýšení oprávnění služby standardního kolektoru diagnostického centra

Při určitých nesprávně provedených operacích se soubory ve službě standardního kolektoru diagnostického centra může být ohroženo zabezpečení z důvodu zvýšení oprávnění. Pokud útočník toto slabé místo využije, může odstraňovat soubory v umístěních podle vlastního uvážení. Útočník může ohrozit zabezpečení tím, že neoprávněně získá přístup k systému. Tato aktualizace zabezpečení řeší toto ohrožení zabezpečením míst, ve kterých standardní kolektor diagnostického centra provádí operace.

Nová ikona vydání 15.9.11Visual Studio 2017 verze 15.9.11

Vydáno 2. dubna 2019

Chyby opravené ve verzi 15.9.11

Nová ikona vydané verze 15.9.10Visual Studio 2017 verze 15.9.10

Vydáno 25. března 2019

Chyby opravené ve verzi 15.9.10

  • Opravili jsme [problém s laděním pomocí Dockeru při konfiguraci webového proxy serveru.](https://github.com/Microsoft/DockerTools/issues/600
  • Při ladění pomocí Dockeru teď zaznamenáte vylepšené zpracování chyb u selhání souvisejících s konfigurací sdílení jednotky (například v případě vypršení platnosti přihlašovacích údajů).

Ikona nové verze 15.9.9Visual Studio 2017 verze 15.9.9

Vydáno 12. března 2019

Chyby opravené ve verzi 15.9.9

Vyřešené informační zpravodaje zabezpečení

CVE-2019-9197 Ohrožení zabezpečení z důvodu možnosti vzdáleného spuštění kódu v Unity Editoru

K ohrožení zabezpečení z důvodu možnosti vzdáleného spuštění dochází v Unity Editoru, což je software třetí strany, který sada Visual Studio nabízí pro instalaci jako součást úlohy Vývoj her pomocí Unity. Pokud jste Unity nainstalovali ze sady Visual Studio, ujistěte se, že jste aktualizovali vámi používanou verzi Unity na verzi, která řeší ohrožení zabezpečení popsané v CVE. Instalační program sady Visual Studio byl aktualizován tak, aby nabízel instalaci verze Unity Editoru, která ohrožení zabezpečení řeší.

CVE-2019-0809 Ohrožení zabezpečení z důvodu možnosti vzdáleného spuštění v sadě Visual Studio

K ohrožení zabezpečení z důvodu možnosti vzdáleného spuštění kódu dochází, když instalační program distribuovatelných součástí sady Visual Studio C++ nesprávně ověří vstup před načtením souborů knihovny DLL. Pokud útočník toto slabé místo využije, může v kontextu aktuálního uživatele spustit libovolný kód. Uživatelé, jejichž účty jsou nakonfigurované tak, aby měly v systému méně uživatelských práv, můžou být zasažené méně než uživatelé, kteří mají práva správce. Aby útočník mohl toto slabé místo využít, musí do místního systému umístit škodlivou knihovnu DLL a přesvědčit uživatele, aby spustil konkrétní spustitelný soubor. Aktualizace zabezpečení řeší tuto chybu zabezpečení tím, že opraví způsob, jakým instalační program distribuovatelných součástí sady Visual Studio C++ ověřuje vstup před načtením souborů knihoven DLL.

CVE-2019-0757 Ohrožení zabezpečení z důvodu možných neoprávněných úprav v .NET Core NuGet

V softwaru NuGet dochází k ohrožení zabezpečení při spuštění v prostředí Linux nebo Mac. Pokud útočník toto slabé místo využije, může v kontextu aktuálního uživatele spustit libovolný kód. Pokud je aktuální uživatel přihlášený s právy správce, může útočník převzít kontrolu nad systémem. Útočník pak může nainstalovat programy, zobrazit, změnit nebo odstranit data nebo vytvořit nové účty s úplnými uživatelskými právy. Uživatelé, jejichž účty jsou nakonfigurované tak, aby měly v systému méně uživatelských práv, můžou být zasažené méně než uživatelé, kteří mají práva správce. Aby mohlo dojít ke zneužití slabého místa, musí se útočník umět v daném počítači přihlásit jako jakýkoli jiný uživatel. V tu chvíli bude útočník schopen nahradit nebo přidat soubory, které byly vytvořeny operací obnovení NuGet v aktuálním účtu uživatele.

V tento den byly vydány aktualizace pro .NET Core, které jsou součástí uvedené aktualizace sady Visual Studio. Aktualizace zabezpečení řeší tuto chybu zabezpečení tím, že opravuje způsob, jakým obnovení NuGet vytváří oprávnění k souborům pro všechny soubory extrahované do klientského počítače. Podrobnosti o balíčcích najdete ve zprávě k vydání verze .NET Core.

Nová ikona vydané verze 15.9.8Visual Studio 2017 verze 15.9.8

Vydáno 5. března 2019

Chyby opravené ve verzi 15.9.8

Ikona nové verze 15.9.7Visual Studio 2017 verze 15.9.7

vydáno 12. února 2019

Chyby opravené ve verzi 15.9.7

Vyřešené informační zpravodaje zabezpečení

CVE-2019-0613 Deserializace souboru XOML v Návrháři postupu provádění umožňuje provádění kódu

Soubor XOML odkazující na různé typy mohl při otevření v sadě Visual Studio způsobovat provádění náhodného kódu. Typy, které lze v souborech XOML používat, jsou nyní omezené. Při otevření souboru XOML s jedním z neoprávněných typů se nově zobrazí zpráva, která uživatele o takovém typu informuje.

Další informace najdete v dokumentaci k ohrožení zabezpečení XOML.

CVE-2019-0657 Ohrožení zabezpečení z důvodu falšování identity v rozhraní .NET Framework a sadě Visual Studio

V tento den byly vydány aktualizace pro .NET Core, které jsou součástí uvedené aktualizace sady Visual Studio. Tato verze odstraňuje problémy se zabezpečením a řeší další důležité aspekty. Podrobnosti najdete v poznámkách k verzi .NET Core.

Nová ikona vydané verze 15.9.6Visual Studio 2017 verze 15.9.6

Vydáno 24. ledna 2019

Chyby opravené ve verzi 15.9.6

Ikona nové verze 15.9.5Visual Studio 2017 verze 15.9.5

Vydáno 8. ledna 2019

Chyby opravené ve verzi 15.9.5

Vyřešené informační zpravodaje zabezpečení

CVE-2019-0546 Ohrožení zabezpečení spočívající ve vzdáleném spuštění kódu v sadě Visual Studio ohrožení zabezpečení spočívající v možnosti vzdáleného spuštění kódu, když kompilátor C++ nesprávně zpracovává konkrétní kombinace konstruktorů jazyka C++. Pokud útočník toto slabé místo využije, může v kontextu aktuálního uživatele spustit libovolný kód. Pokud je aktuální uživatel přihlášený s právy správce, může útočník převzít kontrolu nad systémem. Útočník pak může nainstalovat programy, zobrazit, změnit nebo odstranit data nebo vytvořit nové účty s úplnými uživatelskými právy. Uživatelé, jejichž účty jsou nakonfigurované tak, aby měly v systému méně uživatelských práv, můžou být zasažené méně než uživatelé, kteří mají práva správce. Tato aktualizace zabezpečení řeší toto ohrožení zabezpečení tím, že opraví způsob, jakým kompilátor C++ sady Visual Studio zpracovává určité konstruktory jazyka C++.

Nová ikona vydané verze 15.9.4Visual Studio 2017 verze 15.9.4

Vydáno 11. prosince 2018

Chyby opravené ve verzi 15.9.4

Vyřešené informační zpravodaje zabezpečení

CVE-2018-8599 Ohrožení zabezpečení z důvodu možného zvýšení oprávnění služby standardního kolektoru diagnostického centra

Při určitých nesprávně provedených operacích se soubory ve službě standardního kolektoru diagnostického centra může být ohroženo zabezpečení z důvodu zvýšení oprávnění. Pokud útočník toto slabé místo využije, může získat zvýšená oprávnění. Útočník může ohrozit zabezpečení tím, že neoprávněně získá přístup k systému. Tato aktualizace zabezpečení řeší ohrožení řádným zosobněním při operacích se soubory ve službě standardního kolektoru diagnostického centra.

Nová ikona vydání 15.9.3Visual Studio 2017 verze 15.9.3

Vydáno 28. listopadu 2018

Chyby opravené ve verzi 15.9.3

Nová ikona vydání 15.9.2Visual Studio 2017 verze 15.9.2

Vydáno 19. listopadu 2018

Chyby opravené ve verzi 15.9.2

Ikona nové verze 15.9.1Visual Studio 2017 verze 15.9.1

Vydáno 15. listopadu 2018

Chyby opravené ve verzi 15.9.1

  • Je opravená chyba, kdy se sadě Visual Studio nepodařilo sestavit projekty pomocí sady Microsoft Xbox One XDK.

Podrobnosti o novinkách ve verzi 15.9.1

Sada SDK sady funkcí Vývoj pro Univerzální platformu Windows

Sada SDK aktualizace Windows 10 z října 2018 (build 17763) je teď výchozí vybranou sadou SDK pro sadu funkcí Vývoj pro Univerzální platformu Windows.

Krátký přehled hlavních nových funkcí ve verzi 15.9

Hlavní chyby opravené ve verzi 15.9

Zobrazit všechny problémy hlášené zákazníky opravené ve verzi 15.9 sady Visual Studio 2017

Portál komunity vývojářůPortál komunity vývojářů

Podrobnosti o novinkách ve verzi 15.9

Nová ikona vydané verze 15.9.0Visual Studio 2017 verze 15.9.0

Vydáno 13. listopadu 2018

Nové funkce ve verzi 15.9

Instalace

Usnadnili jsme zachování konzistentního nastavení instalace v různých instalacích sady Visual Studio. Instalační program pro Visual Studio teď můžete použít k exportu souboru .vsconfig pro danou instanci sady Visual Studio. Tento soubor bude obsahovat informace o sadách funkcí a komponentách, které jste nainstalovali. Můžete ho potom importovat a přidat tyto výběry sad funkcí a komponent do jiné instalace sady Visual Studio.

Ladění

Přidali jsme podporu pro využití nového formátu balíčků symbolů založeného na portable-pdb (.snupkg). Přidali jsme nástroje, které usnadňují využití a správu těchto balíčků symbolů ze zdrojů, jako je server symbolů NuGet.org.

C++

  • Do ladicího programu jsme přidali funkci krokování zpět. Tato funkce jazyka C++ je dostupná v edici Visual Studio Enterprise. Krok zpátky umožňuje vrátit se v čase, abyste viděli stav své aplikace v předchozím bodu v čase.
  • Funkce IntelliSense v jazyce C++ nyní reaguje na změny vzdáleného prostředí v projektech CMake a MSBuild určených pro Linux. Při instalaci nových knihoven nebo změně projektů CMake funkce IntelliSense pro C++ automaticky parsuje nové soubory hlaviček na vzdáleném počítači pro úplnost prostředí a bezproblémové úpravy jazyka C++.
  • Aktualizovali jsme balíčky desktopového přemostění na UPW, aby odpovídaly nejnovějším nabídkám v obchodě Microsoft Store. Platí pro všechny podporované architektury, včetně ARM64.
  • Kromě opravy 60 blokujících chyb jsme přidali podporu knihovny range-v3 s kompilátorem MSVC 15.9, který je dostupný ve složce /std:c++17 /permissive-.
  • V sadě Visual Studio byl aktualizován maloobchodní balíček pro architekturu VCLibs, aby odpovídal nejnovější verzi dostupné pro UPW ve Storu.
  • Scénáře nativních desktopů s architekturou AMR64 pro C++ jsou nyní plně podporované, včetně VC++ 2017 Redistributable.
  • V hlavičce charconv jsme v jazyce C++ 2017 implementovali metodu nejkratší odezvy při přetížení plovoucí desetinné čárky funkcí to_chars(). Ve vědeckém zápisu je zhruba desetkrát rychlejší než sprintf_s() "%.8e" u hodnot typu float a třicetkrát rychlejší než sprintf_s() "%.16e" u hodnot typu double. Použili jsme nový algoritmus, jehož autorem je Ulf Adams, s názvem Ryu.
  • Seznam vylepšení standardního přizpůsobení kompilátoru Visual C++, která můžou v režimu striktní shody vyžadovat změny ve zdroji, najdete zde.
  • Vyřadili jsme přepínač /Gm kompilátoru C++. Zvažte, že zakážete přepínač /Gm ve skriptech sestavení, pokud je explicitně definován. Můžete ale také bezpečně ignorovat upozornění na vyřazení přepínače /Gm, protože při použití funkce Zpracovávat jako chyby (/WX) se nebude považovat za chybu.

F#

Kompilátor jazyka F#

  • Opravili jsme chybu, kdy rozšiřující metody, které přebírají hodnoty byref, mohly zmutovat nemutovatelnou hodnotu.
  • Vylepšili jsme informace o chybě kompilace při přetížení na byref/inref/outref místo dřívějšího zobrazení nejasné chyby.
  • Volitelná rozšíření typu u modifikátorů byref jsou nyní úplně zakázaná. Dříve sice bylo možné je deklarovat, ale nebyly použitelné, takže mátly koncové uživatele.
  • Opravili jsme chybu, při které metoda CompareTo ve strukturované řazené kolekci členů způsobovala stejný typ strukturované řazené kolekce členů s aliasem, což vedlo k výjimce za běhu.
  • Opravili jsme chybu, kdy se při použití typu System.Void k vytvoření zprostředkovatele typu pro .NET Standard nedá v okamžiku návrhu najít typ System.Void.
  • Opravili jsme chybu, při které mohlo při částečném použití konstruktoru Discriminated Union dojít k chybě kvůli záměně s typem Discriminated Union, který je v poznámce nebo je odvozený.
  • Při pokusu o adresování výrazu (například při přístupu k vlastnosti) jsme změnili chybovou zprávu kompilátoru, aby srozumitelněji informovala o porušení pravidel oboru u typů byref.
  • Opravili jsme chybu, která mohla vést k havárii programu za běhu kvůli částečnému použití typu byref v metodě nebo funkci. Teď se zobrazí chybová zpráva.
  • Opravili jsme problém s neplatnou kombinací byref a typu odkazu (například byref<int> option), který vedl k selhání za běhu bez vygenerování chybové zprávy. Teď se vygeneruje chybová zpráva.

Nástroje jazyka F#

  • Vyřešili jsme problém, kdy se ve vlastnostech souboru ve Windows nezobrazovala metadata sestavení v jazyce F# vytvořená sadou .NET Core SDK. Teď si tato metadata můžete prohlédnout, když ve Windows kliknete pravým tlačítkem na sestavení a vyberete Vlastnosti.
  • Opravili jsme chybu, při které použití typu module global ve zdroji F# mohlo vést k tomu, že sada Visual Studio přestala reagovat.
  • Opravili jsme chybu, kvůli které se metody rozšíření při použití inref<'T> nezobrazovaly v seznamech dokončení.
  • Opravili jsme chybu, při které byl rozevírací seznam TargetFramework ve vlastnostech projektu pro .NET Framework F# prázdný.
  • Opravili jsme chybu, kvůli které nešel vytvořit nový projekt v jazyce F# určený pro .NET Framework 4.0.

Open Source úložiště F#

Projekt VisualFSharpFull je nyní nastavený jako výchozí spouštěný projekt, abyste ho před laděním nemuseli nastavovat ručně. Děkujeme Robertovi Jeppesenovi.

Podpora služeb jazyka JavaScript a TypeScript

  • Přidali jsme refaktoring k opravě odkazů na soubor po jeho přejmenování. Také jsme přidali podporu odkazů na projekty. Umožňuje rozdělit projekt TypeScriptu do samostatných buildů, které na sebe vzájemně odkazují.
  • Aktualizovali jsme nejnovější Vue CLI 3.0 a vylepšili linting v souborech šablon Vue.js. Také můžete psát a spouštět testy jednotek pomocí architektury Jest.
  • Přidali jsme podporu jazyka TypeScript 3.1.

Podpora SharePointu 2019

Přidali jsme nové šablony, které umožňují vytváření projektů pro SharePoint 2019. Existující sharepointové projekty budete moct migrovat ze SharePointu 2013 a SharePointu 2016 do nové šablony projektu.

Nástroje sady Visual Studio pro Xamarin

Nástroje Visual Studio Tools pro Xamarin teď podporují Xcode 10, což vám umožňuje sestavování a ladění aplikací pro iOS 12, tvOS 12, a watchOS 5. Podívejte se na to, jak se připravit na iOS 12, a na náš úvod do iOSu 12, abyste získali podrobné informace o nových funkcích, které jsou k dispozici.

Vylepšení výkonu rozšíření Xamarin.Android při počátečním sestavení

Xamarin.Android 9.1 obsahuje počáteční vylepšení výkonu sestavení. Další podrobnosti najdete v našem porovnání výkonu sestavení Xamarin.Android 15.8 vs. 15.9.

Nástroje pro vývojáře Univerzální platforma Windows

  • Nejnovější sada Windows 10 SDK (build 17763) je zahrnutá jako volitelná komponenta v sadě vývojových funkcí pro Univerzální platformu Windows.
  • Přidali jsme podporu pro vytváření balíčků .MSIX pro projekty Univerzální platformy Windows, stejně jako v šabloně projektu Windows Application Packaging. K vytvoření balíčku .MSIX je nutné, aby minimální verze vaší aplikace odpovídala nejnovější sadě Windows 10 SDK (build 17763).
  • Můžete teď vytvářet aplikace UPW ARM64. Pro aplikace UPW .NET je pro ARM64 podporovaná jenom technologie .NET Native – a Minimum Version vaší aplikace musíte nastavit na Fall Creators Update (build 16299) nebo vyšší.
  • Provedli jsme vylepšení ohledně rychlosti F5 (sestavení a nasazení) pro aplikace pro Univerzální platformu Windows. Nejvíce patrné to bude u nasazení na vzdálené cíle pomocí ověřování Windows, ale projeví se to také u všech ostatních nasazení.
  • Vývojáři teď můžou při použití Návrháře XAML k vytváření aplikací UPW pro verzi Windows 10 Fall Creators Update (build 16299) nebo novější určit možnosti zobrazení ovládacího prvku. Volba Zobrazit jen ovládací prvky platformy zakáže návrháři spouštět kód vlastních ovládacích prvků, aby se zlepšila spolehlivost návrháře.
  • Návrhář XAML teď automaticky nahrazuje ovládací prvky, které vyvolávají zachytitelné výjimky, náhradními ovládacími prvky, aby v návrháři nedocházelo k chybám. Náhradní ovládací prvky jsou ohraničené žlutě. Jde o nápovědu pro vývojáře, že ovládací prvek byl při návrhu nahrazen.
  • Projekt balení aplikace pro systém Windows nyní podporuje ladění na pozadí, které používá typ ladicího programu Core CLR.

NuGet

Vylepšení zprostředkovatele přihlašovacích údajů NuGet

Tato verze podstatně vylepšuje prostředí pro používání ověřených informačních kanálů balíčků, zejména pro uživatele Macu a Linuxu:

  • Visual Studio, MSBuild, NuGet.exe a .NET nyní podporují nové rozhraní modulu plug-in zprostředkovatele přihlašovacích údajů, které můžou implementovat hostitelé privátních balíčků, jako je Azure Artifacts. Předtím jenom NuGet.exe a Visual Studio přijímaly zprostředkovatele přihlašovacích údajů.
  • Edice sady Visual Studio (včetně edice Build Tools) teď poskytují zprostředkovatele přihlašovacích údajů Azure Artifacts s určitými sadami funkcí, které umožňují při vývoji jednoduše používat informační kanály Azure Artifacts. Pokud chcete tato vylepšení používat, nainstalujte si komponenty Správce balíčků NuGet nebo cíle a úlohy sestavení NuGet nebo sadu funkcí .NET Core.

Vylepšení Správce balíčků NuGetu

  • NuGet teď umožňuje uzamčení úplného zavření balíčku projektů založených na PackageReference, a umožňuje tak opakovatelné obnovení balíčků.
  • Uživatelské rozhraní správce balíčků NuGet sady Visual Studio teď zobrazuje informace o licenci pro balíčky, které používají nový formát licence. Tento nový formát licence vkládá informace o licenci jako součást balíčku ve formě výrazu SPDX nebo licenčního souboru.

Zabezpečení NuGetu

Zavedli jsme zásady klienta NuGet, které umožňují konfigurovat bezpečnostní omezení balíčků. To znamená, že můžete zamknout prostředí, aby bylo možné instalovat jenom důvěryhodné balíčky. Uděláte to takto:

  • Zakážete instalaci nepodepsaných balíčků.
  • Definujete seznam důvěryhodných podepisujících, který je založený na podpisu autora.
  • Definujete seznam důvěryhodných vlastníků balíčku podle webu NuGet.org, který je založený na metadatech podpisu úložiště.

.NET Core Tools pro Visual Studio

Od této verze budou nástroje .NET Core pro Visual Studio automaticky používat jenom nejnovější stabilní verzi sady .NET Core SDK, která je nainstalovaná na vašem počítači a je určená pro obecně dostupnou verzi sady Visual Studio. V budoucích verzích Preview budou nástroje používat jenom sady .NET Core SDK verze Preview.

Opravené problémy

Zobrazit všechny problémy hlášené zákazníky opravené ve verzi 15.9 sady Visual Studio 2017

DevComIconPortál komunity vývojářů

Známé problémy

Podívejte se na všechny dosud známé problémy a možná alternativní řešení v sadě Visual Studio 2017 verze 15.9.

PoleIssueButtonZnámé problémy sady Visual Studio 2017

Názory a návrhy

Rádi uslyšíme váš názor! O problémech nás můžete informovat prostřednictvím možnosti Nahlásit problém v pravém horním rohu instalačního programu nebo v samotném integrovaném vývojovém prostředí sady Visual Studio. Ikona Nahlásit ikonu problému se nachází v pravém horním rohu. Na stránce komunity vývojářů sady Visual Studio můžete posílat návrhy k produktu a sledovat svoje nahlášené problémy. Můžete tu pokládat otázky, hledat odpovědi a navrhovat nové funkce. Naše podpora na živém chatu vám navíc poskytne bezplatnou pomoc s instalací.

Blogy

Využijte přehledů a doporučení, které najdete na webu Blogy o vývojářských nástrojích, abyste si udržovali přehled o všech nových vydaných verzích a měli k dispozici podrobné příspěvky popisující širokou škálu funkcí.

Blogy o vývojářských nástrojích

Historie zpráv k vydání verzí pro Visual Studio 2017

Další informace týkající se minulých verzí sady Visual Studio 2017 najdete na stránce Historie zpráv k vydání verzí pro Visual Studio 2017.

Na začátek stránky