Dev15LogoVisual Studio 2017 15.9 版版本資訊

  • 發行項

開發人員社群 | 系統需求 | 相容性 | 可散發程式碼 | 授權條款 | 部落格 | 已知問題

注意

這不是 Visual Studio 的最新版本。 若要下載最新版本,請流覽 Visual Studio 網站。

按一下下方的按鈕以下載最新版的 Visual Studio 2017。 請參閱 安裝及更新 Visual Studio 2017 至最新版本的指示。

下載 Visual Studio 2017

支援時間範圍

Visual Studio 2017 15.9 版是 Visual Studio 2017 的最終支援維護基準,並已進入 延長的支援期間。 我們鼓勵需要採用長期穩定且安全開發環境的 Enterprise 和 Professional 客戶在此版本上進行標準化。 如 生命週期和支援原則中所述,15.9 版將透過安全性更新支援到 2027 年 4 月,這是 Visual Studio 2017 產品生命週期的其餘部分。

因為 Visual Studio 2017 現在支援延伸,所以所有 系統管理員更新現在都會涵蓋產品的所有次要版本範圍。 這表示 透過 Microsoft Update 目錄或 Microsoft 端點管理員傳遞的所有安全性更新 ,都會將用戶端更新為 Visual Studio 2017 產品的最新安全版本。

自 2021 年 8 月 21 日起,.NET Core 2.1 不支援

Visual Studio 2017 15.9 版的版本

重要

Visual Studio 2017 15.9 版資訊安全諮詢注意事項

請參閱 Visual Studio 2017 15.9 版中取得之所有開發人員社群專案的完整清單

Visual Studio 2017 15.9.54 版

發行于 2023 年 4 月 11 日

15.9.54 中修正的問題

  • 修正了更新遙測資料時,IIS Express可能會導致當機的問題。

開發人員社群

已解決的安全性諮詢

Visual Studio 2017 15.9.53 版

發行于 2023 年 3 月 14 日

15.9.53 中修正的問題

  • Git 2.39 已將 credential.helper 的值從 「manager-core」 重新命名為 「manager」。 如需相關資訊,請參閱 https://aka.ms/gcm/rename
  • 更新將適用于 Windows 套件的 mingit 和 Git 封裝轉為 v2.39.2,其可解決 CVE-2023-22490

已解決的安全性諮詢

Visual Studio 2017 15.9.52 版

發行于 2023 年 2 月 14 日

15.9.52 中修正的問題

  • 更新 mingit 和 Git for Windows 套件至 v2.39.1.1,其可解決 CVE-2022-41903

已解決的安全性諮詢

Visual Studio 2017 15.9.51 版

發行于 2022 年 11 月 8 日

15.9.51 中修正的問題

  • 系統管理員將能夠從配置更新離線用戶端電腦上的 VS Installer,而不需更新 VS。

已解決的安全性諮詢

Visual Studio 2017 15.9.50 版

發行于 2022 年 8 月 9 日

15.9.50 中修正的問題

  • 更新 Git for Windows 至 v2.37.1.1 定址 CVE-2022-31012。

已解決的安全性諮詢

Visual Studio 2017 15.9.49 版

發行于 2022 年 6 月 14 日

已解決的安全性諮詢

Visual Studio 2017 15.9.48 版

發行于 2022 年 5 月 10 日

15.9.48 中修正的問題

  • 已將 Visual Studio 使用的 Git for Windows 版本和可安裝的選用元件更新為 2.36.0.1
  • 已修正 Git 整合的問題,其中,如果提取/同步處理已發散的分支,則輸出視窗不會顯示如何解決的當地語系化提示。

已解決的安全性諮詢

CVE-2022-29148 Visual Studio 遠端程式碼執行弱點當遠端程式碼執行弱點不正確地處理記憶體中的物件時,Visual Studio 中就存在。 成功惡意探索弱點的攻擊者可以在目前使用者的內容中執行任意程式碼。

CVE-2022-24513權限提高弱點當 Microsoft Visual Studio 更新程式服務不正確地剖析本機設定資料時,可能會有許可權提升弱點。

Visual Studio 2017 15.9.47 版

發行于 2022 年 4 月 19 日

15.9.47 中修正的問題

  • 已修正從 15.9.46 回歸vctip.exe。

Visual Studio 2017 15.9.46 版

發行于 2022 年 4 月 12 日

15.9.46 中修正的問題

已解決的安全性諮詢

CVE-2022-24765權限提高弱點Git for Windows 中有潛在的權限提高弱點,Git 作業可以在 Git 目錄的快取時于存放庫外部執行。 適用于 Windows 的 Git 現在已更新為 2.35.2.1 版。

CVE-2022-24767 DLL 攔截弱點在 System 使用者帳戶下執行卸載程式時,適用于 Windows 安裝程式的 Git 中存在潛在的 DLL 攔截弱點。 適用于 Windows 的 Git 現在已更新為 2.35.2.1 版。

CVE-2022-24513權限提高弱點當 Microsoft Visual Studio 更新程式服務不正確地剖析本機設定資料時,可能會有許可權提升弱點。

Visual Studio 2017 15.9.45 版

發行于 2022 年 3 月 8 日

15.9.45 中修正的問題

已解決的安全性諮詢

CVE-2021-3711 OpenSSL Buffer Overflow 弱點OpenSSL 中有潛在的緩衝區溢位弱點,這是適用于 Windows 的 Git 所取用。 Git for Windows 現在已更新為 2.35.1.2 版,以解決此問題。

Visual Studio 2017 15.9.44 版

發行于 2022 年 2 月 8 日

15.9.44 中修正的問題

已解決的安全性諮詢

CVE-2022-21871診斷中樞標準收集器執行時間權限提高弱點如果診斷中樞標準收集器不正確地處理資料作業,則存在權限提高弱點。

新版本圖示 15.9.43Visual Studio 2017 15.9.43 版

發行于 2022 年 1 月 11 日

15.9.43 中修正的問題

  • 修正當使用 Windows 終端機 做為預設終端機時,無法對應用程式進行多次偵錯的問題。
  • 已修正導致用戶端無法更新最新啟動載入器的問題。 一旦用戶端使用 2022 年 1 月或更新版本的啟動載入器和安裝程式,使用後續啟動載入器的所有更新都應該在產品生命週期的持續時間內運作。

新版本圖示 15.9.42Visual Studio 2017 15.9.42 版

發行于 2021 年 12 月 14 日

15.9.42 中修正的問題

  • 由於安全性弱點,將 CPython 3.6.6 標示為不支援。

新版本圖示 15.9.41Visual Studio 2017 15.9.41 版

發行于 2021 年 11 月 9 日

15.9.41 中修正的問題

已解決的安全性諮詢

CVE-2021-42319權限提高弱點Visual Studio 安裝程式中包含的 WMI 提供者中存在權限提高弱點。

CVE-2021-42277診斷中樞標準收集器服務權限提高弱點當診斷中樞標準收集器不正確地處理檔案作業時,就存在許可權提升弱點。

新版本圖示 15.9.40Visual Studio 2017 15.9.40 版

發行于 2021 年 10 月 12 日

15.9.40 中修正的問題

已解決的安全性諮詢

CVE-2020-1971 OpenSSL 拒絕服務弱點Git 取用的 OpenSSL 程式庫上潛在的阻斷服務。

CVE-2021-3449 OpenSSL 拒絕服務弱點Git 取用的 OpenSSL 程式庫上潛在的阻斷服務。

CVE-2021-3450 OpenSSL 可能略過X509_V_FLAG_X509_STRICT旗標Git 會取用 OpenSSL 程式庫中的潛在旗標略過。

新版本圖示 15.9.39Visual Studio 2017 15.9.39 版

發行于 2021 年 9 月 14 日

15.9.39 中修正的問題

  • 使用 Visual Studio 中的 [工具 - > 取得工具和功能] 功能表項目時,會發生錯誤,指出找不到Visual Studio 安裝程式。 此修正可讓 Visual Studio 正確找出安裝程式位置。

已解決的安全性諮詢

CVE-2021-26434 Visual Studio 許可權指派許可權提升弱點不正確使用 C++ 安裝遊戲開發並選取 Unreal Engine 安裝程式工作負載之後,Visual Studio 中存在許可權指派弱點。 在安裝期間,系統會在安裝期間容易受到 LPE 攻擊,其會建立具有所有使用者寫入權限的目錄。

CVE-2021-36952 Visual Studio 遠端程式碼執行弱點當遠端程式碼執行弱點不正確地處理記憶體中的物件時,Visual Studio 中就存在。 成功惡意探索弱點的攻擊者可以在目前使用者的內容中執行任意程式碼。

新版本圖示 15.9.38Visual Studio 2017 15.9.38 版

發行于 2021 年 8 月 10 日

15.9.38 中修正的問題

  • 修正了受影響的更新命令命令列執行的問題。 如果第一次更新失敗,後續發行的 update 命令現在會導致更新繼續先前的作業,而該作業已離開。

已解決的安全性諮詢

CVE-2021-26423 .NET Core 拒絕服務弱點

拒絕服務弱點存在,其中 .NET (Core) 伺服器應用程式提供 WebSocket 端點,在嘗試讀取單一 WebSocket 框架時,可能會遭到無止盡的迴圈攻擊。

CVE-2021-34485 .NET Core 資訊洩漏弱點

當工具建立的傾印收集損毀傾印和隨選傾印時,會以 Linux 和 macOS 上的全域讀取權限建立資訊洩漏弱點。

CVE-2021-34532 ASP.NET Core資訊洩漏弱點

如果無法剖析 JWT 權杖,則會在中記錄資訊洩漏弱點。

新版本圖示 15.9.37Visual Studio 2017 15.9.37 版

發行于 2021 年 7 月 13 日

15.9.37 中修正的問題

  • 已修正建立離線 Visual Studio 2017 安裝配置,其中包含使用 Unity 進行的遊戲開發工作負載,以及來自中國之 Unity 編輯器選用元件。

新版本圖示 15.9.36Visual Studio 2017 15.9.36 版

發行于 2021 年 5 月 11 日

15.9.36 中修正的問題

  • 已修正當系統管理員建立 Visual Studio 的新版面配置以部署更新時,導致更新失敗的問題。 由於版面配置已移動位置,因此用戶端電腦更新將會失敗。

新版本圖示 15.9.35Visual Studio 2017 15.9.35 版

發行于 2021 年 4 月 13 日

15.9.35 中修正的問題

已解決的安全性諮詢

CVE-2021-27064 Visual Studio 安裝程式權限提高弱點

當 Visual Studio 安裝程式以提升許可權的狀態執行意見反應用戶端時,就存在遠端程式碼執行弱點。

CVE-2021-28313 / CVE-2021-28321 / CVE-2021-28322診斷中樞標準收集器服務權限提高弱點

當診斷中樞標準收集器未正確處理資料作業時,即會存在權限提升弱點。

新版本圖示 15.9.34Visual Studio 2017 15.9.34 版

發行于 2021 年 3 月 9 日

15.9.34 中修正的問題

已解決的安全性諮詢

CVE-2021-21300 Git for Visual Studio 遠端程式碼執行弱點

當 Visual Studio 複製惡意存放庫時,就會存在遠端程式碼執行弱點。

CVE-2021-26701 .NET Core 遠端程式碼執行弱點

由於文字編碼的執行方式,.NET 5 和 .NET Core 中有遠端程式碼執行弱點。

新版本圖示 15.9.33Visual Studio 2017 15.9.33 版

發行于 2021 年 2 月 10 日

15.9.33 中修正的問題

新版本圖示 15.9.32Visual Studio 2017 15.9.32 版

發行于 2021 年 2 月 9 日

15.9.32 中修正的問題

已解決的安全性諮詢

CVE-2021-1639 TypeScript 語言服務遠端程式碼執行弱點

當 Visual Studio 載入包含 JavaScript 或 TypeScript 程式碼檔案的惡意存放庫時,就存在遠端程式碼執行弱點。

CVE-2021-1721 .NET Core 拒絕服務弱點

在 X509 憑證鏈結建置期間建立 HTTPS Web 要求時,存在拒絕服務弱點。

CVE-2021-24112 .NET 5 和 .NET Core 遠端程式碼執行弱點

當圖形介面仍有參考時,處置中繼檔時,就會存在遠端程式碼執行弱點。 此弱點只存在於 MacOS 或 Linux 上執行的系統上。

新版本圖示 15.9.31Visual Studio 2017 15.9.31 版

發行於 2021 年 1 月 12 日

15.9.31 中修正的問題

已解決的安全性諮詢

CVE-2021-1651 / CVE-2021-1680診斷中樞標準收集器權限提高弱點

當診斷中樞標準收集器未正確處理資料作業時,即會存在權限提升弱點。

CVE-2020-26870 Visual Studio 安裝程式遠端程式碼執行弱點

當 Visual Studio 安裝程式嘗試顯示惡意 Markdown 時,即會存在遠端程式碼執行弱點。

新版本圖示 15.9.30Visual Studio 2017 15.9.30 版

發行於 2020 年 12 月 8 日

15.9.30 中修正的問題

  • 修正了在 C++/CLI 中對接受泛型引數的函式呼叫進行編譯時,C++ 編譯器損毀的問題。

已解決的安全性諮詢

CVE-2020-17156 Visual Studio 遠端程式碼執行弱點

當 Visual Studio 複製惡意存放庫時,就會存在遠端程式碼執行弱點。

新版本圖示 15.9.29Visual Studio 2017 15.9.29 版

2020 年 11 月 20 日發行

15.9.29 中修正的問題

已解決的安全性諮詢

CVE-2020-17100 Visual Studio 竄改弱點

當適用於 Visual Studio 的 Python 工具建立 [python27] 資料夾時,會存在竄改弱點。 攻擊者若成功探索此弱點,即可在權限提升的內容中執行處理序。

新版本圖示 15.9.28Visual Studio 2017 15.9.28 版

發行於 2020 年 10 月 13 日

15.9.28 中修正的問題

  • .NET Core SDK 2.1.519 更新為 Visual Studio 2019。

新版本圖示 15.9.27Visual Studio 2017 15.9.27 版

2020 年 9 月 8 日發行

15.9.27 中修正的問題

  • 若已從 VS 安裝程式中移除,則不受支援的 .NET Core 版本將不會再於修復或升級期間重新安裝。

已解決的安全性諮詢

CVE-2020-1130 診斷中樞標準收集器提高許可權弱點

當診斷中樞標準收集器未正確處理資料作業時,即會存在權限提升弱點。 攻擊者若成功探索此弱點,即可在權限提升的內容中執行處理序。

CVE-2020-1133 診斷中樞標準收集器提高許可權弱點

當診斷中樞標準收集器未正確處理檔案作業時,即會存在權限提升弱點。 攻擊者若成功探索此弱點,即可在權限提升的內容中執行處理序。

CVE-2020-16856 Visual Studio 遠端程式碼執行弱點

當 Visual Studio 未正確處理記憶體中的物件時,即會存在遠端程式碼執行弱點。 成功惡意探索弱點的攻擊者可以在目前使用者的內容中執行任意程式碼。

CVE-2020-16874 Visual Studio 遠端程式碼執行弱點

當 Visual Studio 未正確處理記憶體中的物件時,即會存在遠端程式碼執行弱點。 成功惡意探索弱點的攻擊者可以在目前使用者的內容中執行任意程式碼。

CVE-2020-1045Microsoft ASP.NET Core安全性功能略過弱點

Microsoft ASP.NET Core 剖析已編碼 Cookie 名稱的方式有安全性功能略過弱點。 ASP.NET Core Cookie 剖析器會將整個 Cookie 字串解碼,這可能會讓惡意攻擊者設定以百分比將名稱編碼的第二個 Cookie。

新版本圖示 15.9.26Visual Studio 2017 15.9.26 版

於 2020 年 8 月 11 日發行

15.9.26 版中修正的問題

已解決的安全性諮詢

CVE-2020-1597 ASP.NET Core拒絕服務弱點

當 ASP.NET Core 不正確地處理 Web 要求時,就存在拒絕服務弱點。 成功惡意探索此弱點的攻擊者可能會導致 ASP.NET Core Web 應用程式面臨阻斷服務攻擊。 不需要驗證即可從遠端惡意探索此弱點。

新版本圖示 15.9.25Visual Studio 2017 15.9.25 版

發行於 2020 年 7 月 14 日

15.9.25 版中修正的問題

已解決的安全性諮詢

CVE-2020-1393 診斷中樞標準收集器服務提高許可權弱點

當 Windows 診斷中樞標準收集器無法適當處理輸入時,即會造成權限弱點提高,因而導致不安全的程式庫載入行為。

CVE-2020-1416 Visual Studio 提高許可權弱點

當 Visual Studio 載入軟體相依性時,即會造成權限弱點提高。 成功惡意探索弱點的本機攻擊者可插入任意程式碼,以在目前使用者的內容中執行。

CVE-2020-1147 .NET Core 拒絕服務弱點

遠端未經驗證攻擊者可藉由向 ASP.NET Core 應用程式或其他剖析特定 XML 類型的應用程式發出特製要求,以惡意探索此弱點。 此安全性更新會限制 XML 承載中允許存在的類型,藉以解決此弱點。

新版本圖示 15.9.24Visual Studio 2017 15.9.24 版

2020 年 6 月 2 日發行

15.9.24 版中修正的問題

  • 修正了在使用雨傘程式庫,但 DLL 名稱結尾大小寫不同時,C++ 連結器遺漏匯入的 Bug。
  • 修正了 ARM64 C++ 編譯器中可在 setjmp 之後還原錯誤值的 Bug。
  • 修正了 C++ 編譯器錯誤,以適當摺疊內嵌變數動態初始設定式。
  • 進行變更,可讓企業 IT 系統管理員和部署工程師設定 Microsoft Update 用戶端 & SCCM 之類的工具,以判斷裝載于 Microsoft Update 目錄 & WSUS 上的 VS2017 更新適用性。

已解決的安全性諮詢

CVE-2020-1202 / CVE-2020-1203診斷中樞標準收集器服務提高許可權弱點

當診斷中樞標準收集器或 Visual Studio 標準收集器無法正確處理記憶體中的物件時,就會有權限提高弱點。

CVE-2020-1293 / CVE-2020-1278 / CVE-2020-1257診斷中樞標準收集器服務提高許可權弱點

當診斷中樞標準收集器服務處理檔案作業的方式不正確時,就會有權限提高弱點。

CVE-2020-1108 / CVE-2020-1108 / CVE-2020-1108 .NET Core 拒絕服務弱點

為了全面解決 CVE-2020-1108 的問題,Microsoft 發行了 .NET Core 2.1 和 .NET Core 3.1 的更新。 使用這些 .NET Core 版本中任何一個版本的客戶應該安裝最新版的 .NET Core。 如需最新版本號碼和更新 .NET Core 的指示,請參閱版本資訊

新版本圖示 15.9.23Visual Studio 2017 15.9.23 版

2020 年 5 月 12 日發行

15.9.23 版中修正的問題

  • 修正了 C++ 編譯器錯誤,以適當摺疊內嵌變數動態初始設定式。 已從 VS 2019 16.0 版中移植。
  • vctip.exe 中的安全性改善。
  • 讓企業 IT 系統管理員和部署工程師能夠設定 Microsoft Update 用戶端 & SCCM 之類的工具,以判斷 Microsoft Update 目錄 & WSUS 上裝載之 VS2017 更新的適用性。

已解決的安全性諮詢

CVE-2020-1108 .NET Core 拒絕服務弱點

遠端未經驗證的攻擊者可藉由向 .NET Core 應用程式發出特製要求來惡意探索此弱點。 這項安全性更新會更正 .NET Core Web 應用程式處理 Web 要求的方式來解決弱點。

新版本圖示 15.9.22Visual Studio 2017 15.9.22 版

發行於 2020 年 4 月 14 日

15.9.22 版中修正的問題

已解決的安全性諮詢

CVE-2020-0899 Microsoft Visual Studio 提高許可權弱點

當 Microsoft Visual Studio 更新程式服務未適當處理檔案權限時,就會存在權限提高弱點。 成功惡意探索此弱點的攻擊者可能會覆寫本機系統安全性內容中任意檔案內容。

CVE-2020-0900 Visual Studio 延伸模組安裝程式服務權限提高弱點

當 Visual Studio 建伸模組安裝程式服務未適當處理檔案作業時,就會存在權限提高弱點。 成功惡意探索此弱點的攻擊者可能會在具有權限提高其任意位置上刪除檔案。

CVE-2020-5260 由於 URL 驗證不足導致適用於 Visual Studio 的 Git 存在認證洩漏弱點

當特別製作的 URL 經過剖析並傳送給認證協助程式時,就會存在認證洩漏弱點。 這可能會導致將認證傳送至錯誤的主機。

新版本圖示 15.9.21Visual Studio 2017 15.9.21 版

2020 年 3 月 10 日發行

15.9.21 中修正的問題

已解決的安全性諮詢

CVE-2020-0793 / CVE-2020-0810診斷中樞標準收集器服務提高許可權弱點

當診斷中樞標準收集器不當處理檔案作業,或 Windows 診斷中樞標準收集器服務無法正確消毒輸入時,會暴露提高權限弱點。

CVE-2020-0884:建立 Outlook Web 增益集時的詐騙弱點

若在啟用多重要素驗證的情況下建立 Outlook Web 增益集,會暴露詐騙弱點

新版本圖示 15.9.20Visual Studio 2017 15.9.20 版

2020 年 2 月 11 日發行

15.9.20 中修正的問題

新版本圖示 15.9.19Visual Studio 2017 15.9.19 版

2020 年 1 月 14 日發行

15.9.19 中修正的問題

  • 修正了C++ 最佳化程式中,在呼叫中寫入未知記憶體的影響,呼叫端未正確說明的問題。

已解決的安全性諮詢

CVE-2020-0602 ASP.NET Core拒絕服務弱點

遠端未經驗證的攻擊者可以藉由向 ASP.NET Core 應用程式發出特製要求來惡意探索此弱點。 這項安全性更新會更正 ASP.NET Core Web 應用程式處理 Web 要求的方式來解決弱點。

CVE-2020-0603 ASP.NET Core 遠端程式碼執行弱點

遠端未經驗證的攻擊者可以藉由向 ASP.NET Core 應用程式發出特製要求來惡意探索此弱點。 這項安全性更新會更正 ASP.NET Core Web 應用程式在記憶體中的處理方式來解決弱點。

新版本圖示 15.9.18Visual Studio 2017 15.9.18 版

發行於 2019 年 12 月 10 日

15.9.18 中修正的問題

  • 可降低與 Visual Studio 中每部監視器感知相關的損毀

已解決的安全性諮詢

CVE-2019-1349 由於對子模組名稱的限制過於寬鬆,而產生的 Git for Visual Studio 遠端執行弱點

當 Git 與同層級子模組目錄的子模組名稱衝突時,就會產生遠端程式碼執行弱點。 惡意探索此弱點成功的攻擊者,可以遠端方式在目標電腦上執行程式碼。 此安全性更新會採用新版本的 Git for Windows 來解決此弱點,而子模組複製品的目錄必須為空白。

CVE-2019-1350 由於命令列引數的引用不正確,而產生的 Git for Visual Studio 遠端執行弱點

當 Git 在遞迴複製期間,搭配 SSH URL 使用特定引用方式來解譯命令列引數時,會產生遠端程式碼執行弱點。 惡意探索此弱點成功的攻擊者,可以遠端方式在目標電腦上執行程式碼。 此安全性更新會採用可修正此問題的新版 Git for Windows 來解決此弱點。

CVE-2019-1351 由於在複製期間使用了非字母的磁碟機名稱,而產生的 Git for Visual Studio 任意檔案覆寫弱點

當非字母的磁碟機名稱在 git clone 中略過安全性檢查時,Git 中會產生任意檔案覆寫弱點。 惡意探索此弱點成功的攻擊者,可在目標電腦上寫入任意檔案。 此安全性更新會採用可修正此問題的新版 Git for Windows 來解決此弱點。

CVE-2019-1352 Git for Visual Studio 遠端執行弱點,因為不知道 NTFS 替代資料流程

透過 NTFS 替代資料流來複製及寫入 .git/ 目錄時,在 Git 中會產生遠端程式碼執行弱點。 惡意探索此弱點成功的攻擊者,可以遠端方式在目標電腦上執行程式碼。 此安全性更新會採用可察覺 NTFS 替代資料流的新版 Git for Windows 來解決此弱點。

CVE-2019-1354 由於未拒絕寫出包含反斜線的已追蹤檔案,而產生的 Git for Visual Studio 任意檔案覆寫弱點

當具有反斜線和惡意符號連結的樹狀目錄項目可能會中斷工作樹狀結構時,在 Git 中會產生任意檔案覆寫弱點。 惡意探索此弱點成功的攻擊者,可在目標電腦上寫入任意檔案。 此安全性更新會採用不允許這種反斜線使用方式的新版 Git for Windows 來解決此弱點。

CVE-2019-1387 由於對遞迴複製品子模組名稱的驗證過於寬鬆,而產生的 Git for Visual Studio 遠端執行弱點

使用子模組以遞迴方式複製時,在 Git 中會產生遠端程式碼執行弱點。 惡意探索此弱點成功的攻擊者,可以遠端方式在目標電腦上執行程式碼。 此安全性更新會採用可加強子模組名稱驗證的新版 Git for Windows 來解決此弱點。

新版本圖示 15.9.17Visual Studio 2017 15.9.17 版

發行於 2019 年 10 月 15 日

已解決的安全性諮詢

CVE-2019-1425 2019 年 11 月 12 日發行的 NPM 套件提高許可權弱點 ()

當 Visual Studio 在解壓縮封存檔案時無法正確驗證永久連結,就會存在權限提高弱點。 這些弱點是由 Visual Studio 使用的套件所導致,如下列兩個 NPM 公告所述:npmjs.com/advisories/803npmjs.com/advisories/886。 這些 NPM 套件的更新版本已包含在這版 Visual Studio 中。

新版本圖示 15.9.16Visual Studio 2017 15.9.16 版

發行於 2019 年 9 月 10 日

15.9.16 中已修正的問題

已解決的安全性諮詢

CVE-2019-1232 診斷中樞標準收集器服務權限提高弱點

當診斷中樞標準收集器服務不正確地模擬特定檔案作業時,就存在權限提高弱點。 成功探索此弱點的攻擊者可以取得提高的權限。 缺乏易受攻擊系統特殊存取權限的攻擊者可能會惡意探索這項弱點。 這項安全性更新會確保診斷中樞標準收集器服務正確地模擬檔案作業,以解決弱點。

CVE-2019-1301 .NET Core 中的拒絕服務攻擊弱點

當 .NET Core 不正確地處理 Web 要求時,就存在拒絕服務攻擊弱點。 成功惡意探索此弱點的攻擊者可能會導致 .NET Core Web 應用程式面臨拒絕服務攻擊。 不需要驗證即可從遠端惡意探索此弱點。

這項更新會更正 .NET Core Web 應用程式處理 Web 要求的方式,以解決弱點。

新版本圖示 15.9.15Visual Studio 2017 15.9.15 版

於 2019 年 8 月 13 日發行

15.9.15 中修正的問題

已解決的安全性諮詢

CVE-2019-1211 適用於 Visual Studio 的 Git 的權限提高弱點 \(英文\)

在 Git 中,如果 Visual Studio 不正確地剖析設定檔,就會有權限提高弱點存在。 成功惡意探索弱點的攻擊者,可以在另一個本機使用者的內容中執行程式碼。 為利用此弱點,已通過驗證的攻擊者在完整安裝應用程式之前,必須先修改系統上的 Git 設定檔。 然後,攻擊者必須說服系統上的另一個使用者執行特定的 Git 命令。 此更新會藉由變更編輯設定檔所需的權限來解決此問題。

新版本圖示 15.9.14Visual Studio 2017 15.9.14 版

發行於 2019 年 7 月 9 日

15.9.14 中修正的問題

已解決的安全性諮詢

CVE-2019-1075 ASP.NET Core 詐騙弱點

.NET Core 更新已在今天發行,並包含在此 Visual Studio 更新中。 此版本解決安全性和其他重要問題。 您可以在 .NET Core 版本資訊中查看詳細資料。

CVE-2019-1077 Visual Studio 延伸模組自動更新弱點

當 Visual Studio 延伸模組自動更新程序不當處理某些檔案作業時,會引發權限提高弱點。 惡意攻擊此弱點成功的攻擊者,將能刪除任意位置上的檔案。 若要探索此弱點,攻擊者需要易受攻擊系統的無特殊權限存取權。 此安全性更新藉由保護 Visual Studio 延伸模組自動更新執行檔案作業的位置來解決此弱點。

CVE-2019-1113 WorkflowDesigner XOML 還原序列化允許程式碼執行

參考特定類型的 XOML 檔案可能會導致在 Visual Studio 中開啟 XOML 檔案時執行隨機程式碼。 對於在 XOML 檔案中允許使用的類型,現在有所限制。 如果開啟包含新未授權類型的 XOML 檔案,則會顯示訊息說明該類型未經授權。

如需詳細資訊,請參閱 https://support.microsoft.com/help/4512190/remote-code-execution-vulnerability-if-types-are-specified-in-xoml

新版本圖示 15.9.13Visual Studio 2017 15.9.13 版

2019 年 6 月 11 日發行

15.9.13 中修正的問題

新版本圖示 15.9.12Visual Studio 2017 15.9.12 版

2019 年 5 月 14 日發行

15.9.12 中修正的問題

已解決的安全性諮詢

CVE-2019-0727 診斷中樞標準收集器服務權限提高弱點

當診斷中樞標準收集器服務不當地處理某些檔案作業時,會引發權限提高弱點。 惡意攻擊此弱點成功的攻擊者,將能刪除任意位置上的檔案。 若要探索此弱點,攻擊者需要易受攻擊系統的無特殊權限存取權。 此安全性更新藉由保護診斷中樞標準收集器執行檔案作業的所在位置來解決此弱點。

新版本圖示 15.9.11Visual Studio 2017 15.9.11 版

發行於 2019 年 4 月 2 日

15.9.11 中已修正的問題

新版本圖示 15.9.10Visual Studio 2017 15.9.10 版

於 2019 年 3 月 25 日發行

15.9.10 中已修正的問題

  • 我們已修正 [設定 Web Proxy 時使用 Docker 進行偵錯的問題。] (https://github.com/Microsoft/DockerTools/issues/600
  • 您現在使用 Docker 偵錯時,將可體驗到磁碟機共用組態相關失敗 (例如過期的認證) 的錯誤處理有所改進。

新版本圖示 15.9.9Visual Studio 2017 15.9.9 版

於 2019 年 3 月 12 日發行

15.9.9 中已修正的問題

已解決的安全性諮詢

CVE-2019-9197 Unity Editor 遠端程式碼執行弱點

Unity Editor 中存在遠端執行程式碼弱點,其為 Visual Studio 提供的協力廠商軟體,可作為使用 Unity 工作負載之遊戲開發的一部分來進行安裝。 如果您已從 Visual Studio 安裝 Unity,請務必將您所使用 Unity 版本更新為可解決此弱點的版本,如 CVE 中所述。 Visual Studio 安裝程式已更新,可提供能解決此弱點的 Unity Editor 版本並進行安裝。

CVE-2019-0809 Visual Studio 遠端程式碼執行弱點

當 Visual Studio C ++ 可轉散發安裝程式未在載入動態連結程式庫 (DLL) 檔案正確驗證輸入時,會存在遠端執行程式碼弱點。 成功惡意探索弱點的攻擊者,可以在目前使用者的內容中執行任意程式碼。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。 為了惡意探索這項弱點,攻擊者必須將惡意 DLL 放在本機系統,並引誘使用者執行特定的可執行檔。 此安全性更新會藉由更正 Visual Studio C ++ 可轉散發安裝程式在載入 DLL 檔案之前驗證輸入的方式,來解決弱點。

CVE-2019-0757 .NET Core NuGet 竄改弱點

在 Linux或 Mac 環境執行時,NuGet 軟體會存在篡改弱點。 成功惡意探索弱點的攻擊者可以在目前使用者的內容中執行任意程式碼。 若目前使用者使用系統管理使用者權限登入,攻擊者可以控制受影響的系統。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。 若要利用此弱點,攻擊者需要能夠像任何其他使用者一樣登入該電腦。 屆時,攻擊者將能夠取代或新增由目前使用者帳戶中 NuGet 還原作業所建立的檔案。

.NET Core 更新已在今天發行,並包含在此 Visual Studio 更新中。 此安全性更新會更正 NuGet 還原為擷取至用戶端電腦之所有檔案建立檔案權限的方式,藉以解決弱點。 您可以在 .NET Core 版本資訊中查看此套件的詳細資料。

新版本圖示 15.9.8Visual Studio 2017 15.9.8 版

於 2019 年 3 月 5 日發行

15.9.8 中已修正的問題

新版本圖示 15.9.7Visual Studio 2017 15.9.7 版

發行於 2019 年 2 月 12 日

15.9.7 中已修正的問題

已解決的安全性諮詢

CVE-2019-0613 WorkflowDesigner XOML 還原序列化允許程式碼執行

參考特定類型的 XOML 檔案可能會導致在 Visual Studio 中開啟 XOML 檔案時執行隨機程式碼。 對於在 XOML 檔案中允許使用的類型,現在有所限制。 如果開啟包含新未授權類型的 XOML 檔案,則會顯示訊息說明該類型未經授權。

如需詳細資訊,請參閱 XOML 弱點檔

CVE-2019-0657 .NET framework 和 Visual Studio 詐騙弱點

.NET Core 更新已在今天發行,並包含在此 Visual Studio 更新中。 此版本解決安全性和其他重要問題。 您可以在 .NET Core 版本資訊中查看詳細資料。

新版本圖示 15.9.6Visual Studio 2017 15.9.6 版

發行於 2019 年 1 月 24 日

15.9.6 中已修正的問題

新版本圖示 15.9.5Visual Studio 2017 15.9.5 版

發行於 2019 年 1 月 8 日

15.9.5 中修正的問題

已解決的安全性諮詢

CVE-2019-0546 Visual Studio 遠端程式碼執行弱點當 C++ 編譯器不正確地處理 C++ 建構的特定組合時,Visual Studio 中就存在遠端程式碼執行弱點。 成功惡意探索弱點的攻擊者可以在目前使用者的內容中執行任意程式碼。 若目前使用者使用系統管理使用者權限登入,攻擊者可以控制受影響的系統。 攻擊者接著可以完整的使用者權限安裝程式、檢視變更、刪除資料或建立新的帳戶。 帳戶設定為具有較少使用者權限的使用者,與使用系統管理使用者權限的使用者相比,所受的影響可能較小。 安全性更新會透過更正 Visual Studio C++ 編譯器處理特定 C++ 建構的方式來消除弱點。

新版本圖示 15.9.4Visual Studio 2017 15.9.4 版

發行於 2018 年 12 月 11 日

15.9.4 中已修正的問題

已解決的安全性諮詢

CVE-2018-8599 診斷中樞標準收集器服務權限提高弱點

當「診斷中樞標準收集器服務」不適當地處理特定作業時造成的權限提高弱點。 成功探索此弱點的攻擊者可以取得提高的權限。 若要探索此弱點,攻擊者需要易受攻擊系統的無特殊權限存取權。 此安全性更新透過確定「診斷中樞標準收集器服務」適當地模擬檔案作業來去除弱點。

新版本圖示 15.9.3Visual Studio 2017 15.9.3 版

發行於 2018 年 11 月 28 日

15.9.3 中已修正的問題

新版本圖示 15.9.2Visual Studio 2017 15.9.2 版

發行於 2018 年 11 月 19 日

15.9.2 中修正的問題

新版本圖示 15.9.1Visual Studio 2017 15.9.1 版

發行於 2018 年 11 月 15 日

15.9.1 中修正的問題

  • 修正了 Visual Studio 無法使用 Microsoft Xbox One XDK 建置專案的 Bug。

15.9.1 中新功能的詳細資料

通用 Windows 平台開發 SDK

Windows 10 October 2018 Update SDK (組建 17763) 現在是通用 Windows 平台開發工作負載預設選取的 SDK。

15.9 中值得注意的新功能摘要

15.9 中已修正的常見問題

請查看 Visual Studio 2017 15.9 版中所有已修正的客戶回報問題。

開發人員社群入口網站開發人員社群入口網站

15.9 中新功能的詳細資料

新版本圖示 15.9.0Visual Studio 2017 15.9.0 版

發行於 2018 年 11 月 13 日

15.9 中的新功能

安裝

我們讓您能輕鬆讓您的安裝設定在不同的 Visual Studio 安裝中都一致。 您現在可以使用 Visual Studio 安裝程式未指定的 Visual Studio 執行個體匯出 .vsconfig 檔案。 此檔案將包含您已安裝哪些工作負載與元件的相關資訊。 您可以接著匯入此檔案以將這些工作負載與元件選擇新增到另一個 Visual Studio 安裝。

偵錯

我們新增了取用全新可攜式 Pdb 符號套件格式 (.snupkg) 的支援。 我們新增了工具,讓您能更輕鬆地取用及管理來自 NuGet.org 符號伺服器等來源的符號套件

C++

  • 我們已在 Visual Studio Enterprise Edition 中為 C++ 新增偵錯工具的「倒退」功能。 倒退可讓您即時倒退以檢視您應用程式在先前時間點的狀態。
  • C++ IntelliSense 現在會針對以 Linux 為目標的 CMake 和 MSBuild 專案,回應遠端環境中的變更。 當您安裝新的程式庫或變更您的 CMake 專案時,C++ IntelliSense 會自動剖析遠端電腦上的新標頭檔案,讓您取得完整且順暢的 C++ 編輯體驗。
  • 我們已更新 UWP 傳統型橋接器架構套件 (適用於所有支援的架構,包括 ARM64),以符合 Windows Store 的最新版。
  • 除了修正 60 個封鎖的 Bug 之外,我們還新增了以 MSVC 15.9 編譯器使用 range-v3 程式庫的支援,您可透過指定 /std:c++17 /permissive- 來利用該程式庫。
  • Visual Studio 中的零售 VCLibs 架構套件已更新,以符合 UWP 存放區中的最新可用版本。
  • 完整支援現在適用於 ARM64 C++ 原生桌面案例,包括 VC++ 2017 可轉散發套件。
  • 我們已在 C++17 的 charconv 標頭中實作浮點 to_chars() 的最短來回十進位多載。 針對科學記號標記法,浮點數的速度大約是 sprintf_s() "%.8e" 的 10 倍快,雙精度浮點數的速度則是 sprintf_s() "%.16e" 的 30 倍快。 這會使用 Ulf Adams 的新演算法 Ryu。
  • 可以在這裡找到 Visual C++ 編譯器標準相容性改善的清單,這可能需要嚴格相容性模式中的來源變更。
  • 我們已將 C++ 編譯器 /Gm 切換參數設定為過時。 若已明確定義用 /Gm 切換參數,請考慮將它從您的建置指令碼移除。 或者,您也可以安全地忽略 /Gm 的過時警告,因為當使用 [將警告視為錯誤] (\/WX\) 時不會將它視為錯誤。

F#

F# 編譯器

  • 我們已對使用 byref 值的擴充方法可能會變動不可變值予以修正。
  • 我們已改善 byref/inref/outref 上多載的編譯器錯誤資訊,而不是顯示先前不明的錯誤。
  • 目前完全禁止 byref 上的選擇性類型延伸模組。 這些延伸模組之前可能已宣告,但無法使用,因而導致令人困惑的使用者體驗。
  • 我們已修正結構元組上的 CompareTo 和造成具有別名結構元組的類型等價會導致執行階段例外狀況的 Bug。
  • 我們已修正在撰寫 .NET Standard 型別提供者的內容中使用 System.Void 時,可能於設計階段找不到 System.Void 類型的 Bug。
  • 我們已修正部分套用的差別聯集建構函式與差別聯集的標註或推斷類型不相符時,可能會發生內部錯誤的 Bug。
  • 我們已修改嘗試取得運算式位址 (例如存取屬性) 時的編譯器錯誤訊息,更清楚地表示其違反了 byref 類型的範圍規則。
  • 我們已修正將 byref 類型部分套用至方法或函式時,您的程式可能會在執行階段損毀的 Bug。 現在會顯示一則錯誤訊息。
  • 我們已修正 byref 和參考型別 (例如 byref<int> option) 的無效組合會在執行階段失敗,且不會發出錯誤訊息的問題。 我們現在會發出錯誤訊息。

F# 工具

  • 我們已解決使用 .NET Core SDK 所建置 F# 組件中繼資料不會顯示在 Windows 檔案屬性中的問題。 現在,只要以滑鼠右鍵按一下 Windows 上的組件,並選取 [屬性],就可以看到此中繼資料。
  • 我們已修正在 F# 來源中使用 module global 可能導致 Visual Studio 沒有回應的 Bug。
  • 我們已修正使用 inref<'T> 的擴充方法不會顯示在完成清單中的 Bug。
  • 我們已修正 .NET Framework F# 專案的 [專案屬性] 中 TargetFramework 下拉式清單為空白的 Bug。
  • 我們已修正建立以 .NET Framework 4.0 為目標之新 F# 專案將會失敗的 Bug。

F# 開放原始碼存放庫

VisualFSharpFull 專案現已設定為預設啟始專案,而不必在偵錯之前以手動方式進行設定。 謝謝您,Robert Jeppesen

JavaScript 與 TypeScript 語言服務支援

  • 我們已加入重構,以修正檔案重新命名後的檔案參考。 我們也加入對專案參考的支援,讓您可以將 TypeScript 專案分割為參考彼此的不同組建。
  • 我們已更新最新的 Vue CLI 3.0 並改善 Vue.js 範本檔案中的 linting。 您也可以使用 Jest 架構來撰寫及執行單元測試。
  • 我們已新增對 TypeScript 3.1 的支援。

SharePoint 2019 支援

新增了可以讓您建立 SharePoint 2019 專案的範本。 您可以將現有的 SharePoint 專案從 SharePoint 2013 及 SharePoint 2016 移轉到新的專案範本。

Visual Studio Tools for Xamarin

Visual Studio Tools for Xamarin 現在支援 Xcode 10,可讓您建置 iOS 12、tvOS 12 與 watchOS 5 應用程式並進行偵錯。 請參閱如何針對 iOS 12 做準備我們的 iOS 12 簡介,以取得可用新功能的詳細資料。

初始 Xamarin.Android 建置效能改善

Xamarin.Android 9.1 包括初始建置效能改良。 請參閱我們的 Xamarin.Android 15.8 與15.9 建置效能比較以取得詳細資訊。

通用 Windows 平台開發人員工具

  • 最新的 Windows 10 SDK (組建 17763) 已包含作為通用 Windows 平台開發工作負載的選擇性元件。
  • 我們已加入為通用 Windows 平台專案與 Windows 應用程式封裝專案範本建立 建立 .MSIX 套件的支援。 若要建立 .MSIX 套件,您應用程式的最低版本必須是最新 Windows 10 SDK (組建 17763)。
  • 您現在可以建置 ARM64 UWP 應用程式。 針對 .NET UWP 應用程式,只有 .NET Native 才支援 ARM64M,而且您必須將應用程式的「最低版本」設定 Fall Creators Update (Build 16299) 或更高版本。
  • 我們已改進通用 Windows 平台應用程式的 F5 (建置+部署) 速度。 使用 Windows 驗證部署到遠端目標時最能發現這個改進,但也會影響所有其他部署。
  • 建置以 Windows 10 Fall Creators Update (組建 16299) 或更新版本為目標的 UWP 應用程式時,開發人員現在可以在使用 XAML 設計工具時,選擇指定控制項顯示選項。 選取 [僅顯示平台控制項] 可防止設計工具執行任何自訂控制程式碼,以改善設計工具的可靠性。
  • XAML 設計工具現在會以後援控制項自動取代隨著可偵測之例外狀況擲回的控制項,而非讓設計工具當掉。 後援控制項現在具有黃色的邊框,讓開發人員知道該控制項已在設計階段被取代。
  • Windows 應用程式封裝專案現在支援使用核心 CLR 偵錯工具類型的偵錯背景處理序。

NuGet

NuGet 認證提供者改善

此版本大幅改善已驗證套件摘要的使用體驗,特別適用於 Mac 和 Linux 使用者:

  • Visual Studio、MSBuild、NuGet.exe 和 .NET 現在支援新認證提供者外掛程式介面,該介面可由 Azure Artifacts 等私用套件主機實作。 之前只有 NuGet.exe 和 Visual Studio 接受認證提供者。
  • Visual Studio 版本 (包含 Build Tools 版本) 現在以特定工作負載提供 Azure Artifacts 認證提供者,因此您可以在開發過程中輕鬆使用 Azure Artifacts 摘要。 若要使用這些改善功能,請安裝「NuGet 套件管理員」或「NuGet 目標和建置工作」元件,或是 .NET Core 工作負載。

NuGet 套件管理員改善

NuGet 安全性

我們引進了 NuGet 用戶端原則,這可讓您設定套件安全性條件約束。 這表示您可以鎖定環境,因此只有受信任的套件才能安裝:

  • 不允許安裝未簽署的套件。
  • 根據作者簽章定義受信任的簽署者清單。
  • 根據存放庫簽章中的中繼資料,定義受信任的 NuGet.org 套件擁有者清單。

適用於 Visual Studio 的 .NET Core 工具

從這個版本開始,適用於 Visual Studio 的 .NET Core 工具現在預設為只使用最新穩定版本的 .NET Core SDK,這是針對 Visual Studio 的 GA 版本安裝在電腦上的 SDK 版本。 針對後續的預覽版,這些工具只會使用預覽版的 .NET Core SDK。

已修正的問題

請查看 Visual Studio 2017 15.9 版中所有已修正的客戶回報問題。

開發人員社群入口網站的DevComIcon

已知問題

查看 Visual Studio 2017 15.9 版中所有現有的已知問題和可用的因應措施。

KnownIssueButtonVisual Studio 2017 已知問題

意見 & 反應建議

我們很希望聽聽您的意見! 若有任何問題,請透過安裝程式或 Visual Studio IDE 本身右上角的回報問題選項來通知我們。 回報 問題圖示 圖示位於右上角。 您可以在 Visual Studio 開發人員社群中提出產品建議或追蹤您的問題,也可以提出問題、尋找解答及提議新功能。 您也可以透過我們的即時聊天支援取得免費的安裝協助。

部落格

善用「開發人員工具部落格」網站中的見解與建議,讓您能夠隨時取得所有新版本的最新資訊,以及涵蓋各類功能的深入探討文章。

開發人員工具部落格

Visual Studio 2017 版本資訊記錄

如需與舊版 Visual Studio 2017 相關的詳細資訊,請參閱 資訊歷程記錄頁面。

頁首