Microsoft Visual Studio 製品のセキュリティ更新プログラム(2018 年 4 月)
medium Nessus プラグイン ID 109029
Language:
概要
Microsoft Visual Studio製品にセキュリティ更新プログラムがありません。説明
Microsoft Visual Studio製品にセキュリティ更新プログラムがありません。したがって、以下の脆弱性の影響を受けます。- プログラムデータベース(PDB)ファイルのコンパイル中に、Visual Studioが初期化されていないメモリの内容を不適切に開示する場合、情報漏えいの脆弱性が存在します。この情報漏えいを悪用した攻撃者は、PDBファイルをコンパイルするために使用されたVisual Studioインスタンスから初期化されていないメモリを見ることができます。この脆弱性を利用するには、脆弱なバージョンのVisual Studioを使用して作成された影響を受けるPDBファイルにアクセスする必要があります。攻撃者は開発者にこの情報開示を強制的に行わせることはできません。セキュリティ更新プログラムは、プロジェクトのコンパイル時にPDBファイルが生成される方法を修正することにより、この脆弱性に対応します。
(CVE-2018-1037)
ソリューション
Microsoftはこの問題を解決するために、以下のセキュリティ更新プログラムをリリースしています。-KB4089501
-KB4091346
-KB4087371
-KB4089283
参考資料
http://www.nessus.org/u?1a8e7d73
http://www.nessus.org/u?5b4e94bf
プラグインの詳細
深刻度: Medium
ID: 109029
ファイル名: smb_nt_ms18_apr_visual_studio.nasl
バージョン: 1.13
タイプ: local
エージェント: windows
公開日: 2018/4/13
更新日: 2021/10/1
サポートされているセンサー: Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 1.4
CVSS v2
リスクファクター: Medium
基本値: 4.3
現状値: 3.2
ベクトル: CVSS2#AV:N/AC:M/Au:N/C:P/I:N/A:N
CVSS スコアのソース: CVE-2018-1037
CVSS v3
リスクファクター: Medium
基本値: 4.3
現状値: 3.8
ベクトル: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:microsoft:visual_studio
必要な KB アイテム: SMB/MS_Bulletin_Checks/Possible, installed_sw/Microsoft Visual Studio
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2018/4/10
脆弱性公開日: 2018/4/10
参照情報
CVE: CVE-2018-1037
BID: 103715