Microsoft Visual Studio 产品的安全更新（2023 年 6 月）

high Nessus 插件 ID 177249

语言：

简介

Microsoft Visual Studio 产品受到多个漏洞的影响。

描述

Microsoft Visual Studio 产品缺少安全更新。因此，该应用程序受到多个漏洞影响：

- MSDIA SDK 中存在远程代码执行漏洞，损坏的 PDB 可导致堆溢出，进而导致崩溃或远程代码执行。(CVE-2023-24897)

- 利用远程代码执行漏洞，攻击者可以通过特别构建的 git apply -reject 输入在任意位置写入受控内容。(CVE-2023-25652)

- 由于欺骗漏洞，Github 本地化消息会引用硬编码路径，而不是遵循运行时前缀的规定，从而导致越界内存写入和崩溃。(CVE-2023-25815)

- Autodesk FBX SDK 2020 版或更低版本中的越界写入漏洞可能会让攻击者通过恶意构建的 FBX 文件导致代码执行或导致信息泄露。(CVE-2023-27909)

- 可能诱骗用户打开恶意 FBX 文件的信息泄露漏洞。攻击者可能会利用 Autodesk FBX SDK 2020 或更低版本中的堆栈缓冲区溢出 (CVE-2023-27910) 或堆缓冲区溢出 (CVE-2023-27911) 漏洞，从而导致远程代码执行。

- 包含逻辑错误的配置文件中存在远程代码执行漏洞，会导致发生任意配置注入。(CVE-2023-29007)

- 由于存在远程代码执行漏洞，负责实现 SOCKS5 代理的 Git for Windows 可执行文件容易受到多用户计算机上不受信任的配置的影响。(CVE-2023-29011)

- 由于存在远程代码执行漏洞，Git for Windows Git CMD 程序在启动时会错误地搜索程序，从而导致任意代码静默执行。(CVE-2023-29012)

- 在工具还原期间，.NET SDK 中的远程代码执行漏洞可导致权限提升。(CVE-2023-33135)

- Visual Studio 的 obj 文件解析器存在信息泄露漏洞。(CVE-2023-33139)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

Microsoft 已发布下列安全更新以解决此问题：
- 适用于 Visual Studio 2013 Update 5 的补丁
- 适用于 Visual Studio 2015 Update 3 的补丁
- Visual Studio 2017 的 Update 15.9.55
- Visual Studio 2019 的 Update 16.11.27
- Visual Studio 2022 的 Update 17.0.22
- Visual Studio 2022 的 Update 17.2.16
- Visual Studio 2022 的 Update 17.4.8
- Visual Studio 2022 的 Update 17.6.3